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随 着 物 联 网 技术 的 飞速 发 展 , 物 联 网 在 中 国 受到 了 全 社会 极 大 的 关注 。 与 其 他 传统 网 
络 相 比 , 物 联 网 感知 节点 大 都 部 署 在 无 人 监控 的 场景 中 ,具有 人 能力 脆弱 、 资 源 受 限 等 特点 ,这 
使 得 物 联 网 安全 问题 比较 突出 ,并 且 当 国家 重要 基础 行业 和 社会 关键 服务 领域 (如 电力 、 金 
融 、 交 通 和 医疗 等 ) 重 要 社会 功能 的 实现 即将 依赖 于 物 联网 应 用 时 , 物 联 网 安全 问题 已 经 上 
升 到 国家 层面 。 

2010 年 后 ,全 国 已 有 近 700 所 高 等 院 校 向 教育 部 提交 了 增设 物 联网 等 相关 专业 的 申请 ， 
首 批 37 所 院 校 已 获准 开设 物 联网 相关 专业 。 目 前 符合 大 学 物 联 网 安全 专业 教学 要 求 的 教 
材 十 分 稀缺 ,社会 上 对 物 联 网 安全 技术 书籍 的 需求 数量 也 很 大 。 本 书 试图 在 对 物 联网 安全 
技术 领域 做 详细 介绍 的 基础 上 ,给 出 实际 工程 案例 及 行业 解决 方案 ,以 达到 技术 全 面 、 案 例 
教学 及 工程 实用 的 目的 。 

本 书 主要 分 为 6 个 部 分 ,分 别 按 物 联网 安全 的 技术 架构 分 层次 详细 讲述 涉及 物 联网 安 
全 的 各 类 相关 技术 。 

第 一 部 分 : 物 联网 安全 概述 。 简 单 介绍 物 联网 信息 安全 的 基本 概念 和 主要 技术 ,包括 3 
章 , 内 容 为 物 联网 安全 需求 分 析 、 物 联网 安全 技术 架构 和 密码 与 身份 认证 技术 。 

第 二 部 分 : 物 联网 感知 识别 层 安 全 。 介 绍 涉及 物 联网 感知 层 安全 的 理论 与 技术 ,包括 2 
章 , 内 容 为 RFID 系统 安全 与 隐私 和 WSN 无 线 传感器 网 络 安全 。 

第 三 部 分 : 物 联网 网 络 构建 层 安全 。 介 绍 涉及 物 联 网 网 络 层 安全 的 理论 与 技术 ,包括 2 
章 ,内 容 为 无 线 通信 网 络 安全 和 互联 网 网 络 安全 。 

第 四 部 分 : 物 联 网 管理 服务 层 安 全 。 介 绍 涉及 物 联网 管理 服务 层 安全 的 理论 与 技术 ， 
包括 1 章 , 内 容 为 中 间 件 与 云 计 算 安全 。 

第 五 部 分 : 物 联 网 综合 应 用 层 安 全 。 介 绍 涉及 物 联 网 应 用 层 安 全 的 理论 与 技术 ,包括 2 
章 ,内 容 为 信息 隐藏 技术 原理 和 位 置信 息 与 隐私 保护 。 

第 六 部 分 : 物 联 网 安全 标准 和 安全 体系 规划 设计 。 简 单 介绍 物 联网 安全 标准 和 安全 体 
系 规 划 , 包 括 2 章 , 内 容 为 物 联网 信息 安全 标准 和 安全 体系 结构 规划 与 设计 。 

本 书 主 要 作为 普通 高 等 院 校 本 科 生 和 研究 生 教材 ,教材 力争 紧 跟 物 联网 安全 技术 的 最 
新 发 展 ,使 用 大 量 的 实际 工程 案例 辅助 教学 ,使 学 生 在 学 习 完 成 后 能 够 具备 实际 工程 能 力 。 
对 专业 从 事物 联网 工作 的 领导 干部 、 研 究 人 员 和 工程 技术 人 员 也 有 学 习 参 考 价值 。 

书 中 各 章 都 附 有 习题 ,以 帮助 读者 学 习 理 解 和 实际 工程 应 用 。 同 时 ,可 以 从 清华 大 学 出 
版 社 网 站 (www. tup. com. cn) 下 载 配 套 的 教学 课件 (PowerPoint 演示 文件 ) 以 便 教学 使 用 。 

本 书 由 李 联 宁 教 授 编著 ,在 本 书 编写 过 程 中 ,编者 参考 了 国内 外 大 量 的 物 联 网 及 计算 机 
网 络 书刊 及 文献 资料 ,在 此 对 有 关 文 献 的 作者 表示 感谢 。 对 于 本 书 中 的 错误 或 不 妥 之 处 ,县 
请 广大 读者 不 音 赐教 。 
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第 1 章 物 联网 安全 需求 分 析 
第 2 章 物 联网 安全 技术 框架 
第 3 章 密码 与 身份 认证 技术 


第 1 音 物 联网 安全 需求 分 析 


根据 国际 电信 联盟 的 定义 , 物 联网 (Internet of Things,IOT) 主要 解决 物品 到 物品 
(Thing to Thing,T2T)、 人 到 物品 (Human to Thing, H2T)、 人 到 人 (Human to Human， 
H2H) 之 间 的 互联 。 核 心 共性 技术 、 网 络 与 信息 安全 以 及 关键 应 用 是 当前 的 物 联网 研究 的 

与 其 他 传统 网 络 相 比 , 物 联网 感知 节点 大 都 部 署 在 无 人 监控 的 场景 中 ,具有 能 力 脆 弱 、 
资源 受 限 等 特点 ,这 些 都 导致 很 难 直 接 将 传统 计算 机 网 络 的 安全 算法 和 协议 应 用 于 物 联网 。 
这 使 得 物 联网 安全 问题 相对 比较 突出 ,并 且 将 来 当 国家 重要 基础 行业 和 社会 关键 服务 领域 
(如 电力 、 金 融 、 交 通 和 医疗 等 ) 重要 社会 功能 的 实现 都 依赖 于 物 联网 及 感知 型 业务 应 用 时 ， 
物 联 网 安全 问题 必然 上 升 到 国家 层面 。 

考虑 到 当前 的 物 联网 安全 研究 尚未 形成 体系 ,主要 研究 集中 在 单个 技术 ,如 感知 前 端 技 
术 ( 如 RFID, 传 感 技术 ) 和 个 体 隐 私 保护 等 方面 ,下 面 首先 给 出 物 联网 安全 安全 性 与 层次 结 
构 分 析 ; 随 后 对 层次 结构 涉及 的 物 联 网 关键 技术 以 及 安全 问题 进行 分 析 和 论述 。 


1.1 物 联网 安全 性 要 求 


1.1.1 物 联网 安全 涉及 范围 


在 未 来 的 物 联网 之 中 ,每 一 个 物品 都 会 被 连接 到 一 个 全 球 统一 的 网 络 平台 之 上 ,并 且 这 
些 物 品 又 时 刻 地 与 其 他 物品 之 间 进 行 着 各 式 各 样 的 交互 行为 ,这 无 疑 会 给 未 来 的 物 联网 带 
来 形式 各 异 的 安全 性 和 保密 性 挑战 。 比 如 ,物品 之 间 可 视 性 和 相互 交换 数据 过 程 中 所 带 来 
的 数据 保密 性 、 真 实 性 以 及 完整 性 问题 等 。 

要 想 让 消费 者 全 面 地 投入 未 来 的 物 联 网 的 怀抱 ,要 想 让 用 户 充分 体验 未 来 的 物 联网 所 
带 来 的 巨大 潜在 优势 ,要 想 让 未 来 物 联网 的 参与 者 尽 可 能 避免 通用 性 网 络 基础 平台 所 带 来 
的 各 种 安全 性 与 隐私 性 风险 , 物 联 网 就 必须 实现 这 样 一 种 特殊 的 工作 方式 ,可 以 简便 而 安全 
地 完成 各 种 用 户 控制 行为 ,也 就 是 要 求 未 来 的 物 联 网 的 技术 研究 工作 充分 考虑 安全 性 和 隐 
私 性 等 内 容 。 

传统 意义 上 的 隐私 是 针对 于 “人 "而 言 的 。 但 是 在 物 联网 的 环境 中 ,人 与 物 的 隐私 需要 
得 到 同等 地 位 的 保护 ,以 防止 未 经 授权 的 识别 行为 以 及 追踪 行为 的 干扰 。 而 且 随 着 “物品 ” 
自动 化 能 力 以 及 自主 智慧 的 不 断 增加 ,. 像 物品 的 识别 问题 ,物品 的 身份 问题 物品 的 隐私 问 
题 以 及 物品 在 扮演 的 角色 中 的 责任 问题 将 成 为 我 们 重点 考虑 的 内 容 。 

同时 ,通过 将 海量 的 具有 数据 处 理 能 力 的 “物品 ” 置 于 一 个 全 球 统一 的 信息 平台 和 全 球 
通用 的 数据 空间 之 中 ,未 来 的 物 联网 将 会 给 传统 的 分 布 式 数据 库 技术 带 来 翻天 获 地 的 变化 。 
在 这 样 的 背景 下 ,现实 世界 中 对 于 信息 的 兴趣 将 分 布 并 且 获 盖 数 以 亿 万 计 的 “物品 ”, 其 中 将 
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有 很 多 物品 随时 地 进行 实时 的 数据 更 新 ,同时 更 有 成 百 上 千 、 成 千 上 万 的 “物品 "之 间 正 在 按 
照 各 种 时 刻 变 化 、 时 刻 更 新 的 规则 进行 着 千变万化 的 数据 传输 和 数据 转换 行为 。 

上 面 所 有 这 些 需 求 必 将 给 物 联 网 的 安全 和 隐私 技术 提出 各 种 各 样 严 峻 的 挑战 ,也 必 将 
为 多 重 规则 与 多 重 策略 下 的 安全 性 技术 发 展开 创 更 为 广阔 的 研究 空间 。 

最 后 ,为 了 防止 在 未 经 授权 的 情况 下 随意 使 用 保密 信息 ,并 且 为 了 可 以 完善 物 联网 的 授 
权 使 用 机 制 ,我 们 还 需要 在 动态 的 信任 、 安 全 和 隐私 /保密 管理 等 领域 开展 安全 和 隐私 技术 
研究 工作 。 

物 联 网 虽然 具有 计算 机 、 通 信 、 网 络 .控制 和 电子 等 方面 的 技术 特征 ,但 现 有 的 这 些 技术 
的 简单 集成 却 无 法 构成 一 个 灵活 、 高 效 、 实 用 的 物 联 网 。 物 联网 的 技术 架构 是 在 融合 现 有 计 
算 机 、 网 络 ,通信 ,电子 和 控制 等 技术 的 基础 上 ,通过 进一步 研究 、 开 发 和 应 用 而 形成 的 。 


1.1.2 物 联 网 安全 特征 


从 物 联 网 的 信息 处 理 过 程 来 看 ,感知 信息 经 过 采集 .汇聚 .融合 传输 ,决策 与 控制 等 过 
程 , 整 个 信息 处 理 的 过 程 体现 了 物 联网 安全 的 特征 与 要 求 ,也 揭示 了 物 联 网 所 面临 的 安全 
问题 。 


1. 感知 网 络 的 信息 采集 、 传 输 与 信息 安全 问题 


感知 节点 呈现 多 源 异 构 性 ,感知 节点 通常 情况 下 功能 简单 (如 自动 温度 计 ) 携带 能 量 少 
(使 用 电池 ) ,使 得 它们 无 法 拥有 复杂 的 安全 保护 能 力 , 而 感知 网 络 多 种 多 样 ,从 温度 测量 到 
水 文 监控 ,从 道路 导航 到 自动 控制 ,它们 的 数据 传输 和 消息 也 没有 特定 的 标准 ,所 以 无 法 提 
供 统一 的 安全 保护 体系 。 


2. 核心 网 络 的 传输 与 信息 安全 问题 


核心 网 络 具 有 相对 完整 的 安全 保护 能 力 ,但 是 由 于 物 联网 中 节点 数量 庞大 , 且 以 集群 方 
式 存在 ,因此 会 导致 在 数据 传播 时 ,由 于 大 量 机 器 的 数据 发 送 使 网 络 拥塞 ,产生 拒绝 服务 攻 
击 。 此 外 , 现 有 通信 网 络 的 安全 架构 都 是 从 人 通信 的 角度 设计 的 ,对 以 物 为 主体 的 物 联网 ， 
要 建立 适合 于 感知 信息 传输 与 应 用 的 安全 架构 。 


3. 物 联网 业务 的 安全 问题 


支撑 物 联网 业务 的 平台 有 着 不 同 的 安全 策略 ,如 云 计算 、 分 布 式 系统 和 海量 信息 处 理 
等 ,这 些 支 撑 平台 要 为 上 层 服 务 管理 和 大 规模 行业 应 用 建立 起 一 个 高 效 、 可 靠 和 可 信 的 系 
统 ,而 大 规模 、 多 平台 、 多 业务 类 型 使 物 联网 业务 层次 的 安全 面临 新 的 挑战 ,是 针对 不 同 的 行 
业 应 用 建立 相应 的 安全 策略 ,还 是 建立 一 个 相对 独立 的 安全 架构 ,目前 仍 在 研究 讨论 过 
程 中 。 

还 可 以 从 安全 的 机 密 性 、 完 整 性 和 可 用 性 来 分 析 物 联网 的 安全 需求 。 

信息 隐私 是 物 联网 信息 机 密 性 的 直接 体现 ,如 感知 终端 的 位 置信 息 是 物 联网 的 重要 信 
息 资源 之 一 ,也 是 需要 保护 的 敏感 信息 。 另 外 在 数据 处 理 过 程 中 同样 存在 隐私 保护 问题 ,如 
基于 数据 挖掘 的 行为 分 析 等 ,要 建立 访问 控制 机 制 .控制 物 联网 中 信息 采集 、 传 递 和 查询 等 
操作 ,不 会 由 于 个 人 隐私 或 机 构 秘 密 的 泄露 而 造成 对 个 人 或 机 构 的 伤害 。 
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第 1 章 物 联 网 安全 需求 分 析 


信息 的 加 密 是 实现 机 密 性 的 重要 手段 ,由 于 物 联网 的 多 源 异 构 性 ,使 密 钥 管理 显得 更 为 
困难 ,特别 是 对 感知 网 络 的 密 钥 管理 是 制约 物 联网 信息 机 密 性 的 瓶颈 。 


1.2 物 联网 结构 与 层次 


从 物 联 网 的 功能 来 说 ,应 该 具备 4 个 特征 : 

(1) 全 面 感知 能 力 , 可 以 利用 RFID、 传 感 器 .二 维 条 形 码 等 获取 被 控 / 被 测 物体 的 信息 。 

(2) 数据 信息 的 可 靠 传递 ,可 以 通过 各 种 电信 网 络 与 互联 网 的 融合 ,将 物体 的 信息 实时 
准确 地 传递 出 去 。 

(3) 可 以 智能 处 理 , 利 用 现代 控制 技术 提供 的 智能 计算 方法 ,对 大 量 数据 和 信息 进行 分 
析 和 处 理 , 对 物体 实施 智能 化 的 控制 。 

(4) 可 以 根据 各 个 行业 、 各 种 业务 的 具体 特点 形成 各 种 单独 的 业务 应 用 ,或 者 整个 行业 
及 系统 的 建成 应 用 解决 方案 。 

预计 物 联网 技术 发 展 的 架构 将 包括 更 多 层次 智能 服务 与 应 用 , 见 图 1. 1。 


未 来 的 信息 技术 参考 架构 


息 基 | (和 是 电力 ) ( 知 相 医疗 ) ( 知 昌 城 市 ) ( 吞 臣 交通 ] ( 知 可 供应 链 ) ( 知 瑟 要 行 ) 


~ 
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i 信息 

由 海量 信息 处 更 非 结构 化 数据 管理 信息 
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- 网 络 
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图 11 未 来 的 物 联 网 技术 发 展 的 参考 架构 


而 按照 更 为 科学 及 严谨 的 表述 , 物 联网 结构 应 分 成 以 下 4 个 层次 。 

(1) 感知 识别 层 : 涉及 各 种 类 型 的 传感器 .RFID 标签 .手持 移动 设备 .GPS 终端 和 视频 
摄像 设备 等 。 

(2) 网 络 构建 层 : 涉及 互联 网 无 线 传感器 网 络 、 近 距离 无 线 通 信 、3G/4G 通信 和 网络 和 
网 络 中 间 件 等 。 

(3) 管理 服务 层 : 涉及 海量 数据 处 理 , 非 结构 化 数据 管理 \ 云 计算 、 网 络 计算 、 高 性 能 计 
算 和 语义 网 等 。 

(4) 综合 应 用 层 : 涉及 数据 挖掘 、 数 据 分 析 、 数 据 融合 和 决策 支持 等 。 

特别 重要 的 是 ,根据 图 1. 1 中 右 侧 涉及 的 分 层次 安全 技术 ,可 以 清楚 地 看 出 ,对 应 于 物 


s 


NS 


物 联 网 安全 导论 


联网 的 技术 架构 ,需要 分 别 考虑 安全 防范 的 重点 及 采用 不 同 的 安全 技术 。 
。 感知 识别 层 : 重点 考虑 数据 隐私 的 保护 。 
。 网 络 构建 层 : 重点 考虑 网 络 传输 安全 。 
。 管理 服务 层 : 重点 考虑 信息 安全 。 
。 综合 应 用 层 : 重点 考虑 应 用 系统 安全 。 


1.2.1 感知 识别 层 


感知 层 识别 是 物 联网 发 展 和 应 用 的 基础 ,RFID 技术 、 传 感 和 控制 技术 和 短 距离 无 线 通 
信 技 术 是 感知 识别 层 的 主要 技术 。 例 如 ,RFID 技术 作为 一 项 先进 的 自动 识别 和 数据 采集 技 
术 , 已 经 成 功 地 应 用 到 生产 制造 ,物流 管理 和 公共 安全 等 各 个 领域 。 

例如 ,张贴 安装 在 设备 上 的 RFID 标签 和 用 来 识别 RFID 信息 的 扫描 仪 感 应 器 都 属于 
物 联网 的 感知 识别 层 。 现 在 的 高 速 公路 不 停车 收费 系统 和 超市 仓储 管理 系统 等 都 是 基于 这 
一 类 结构 的 物 联 网 。 

由 传感器 组 成 的 感知 结构 如 图 1. 2 所 示 。 感 知 层 由 传感器 节点 接 入 网 关 组 成 ,智能 节 
点 感知 信息 (温度 、 湿 度 和 图 像 等 ), 并 自行 组 网 传递 到 上 层 网 关 接 入 点 ,由 网 关 将 收集 到 的 
感应 信息 通过 网 络 层 提交 到 后 台 处 理 。 当 后 台 对 数据 处 理 完毕 ,发 送 执 行 命令 到 相应 的 执 
行 机 构 , 完 成 对 被 控 / 被 测 对 象 的 控制 参数 调整 ,或 发 出 某 种 提示 信号 以 实现 对 其 的 一 个 远 


程 监控 。 
用 户 端 
人 l 
数据 信息 处 理 执行 命令 
1 
= 通信 网 络 一 
1 
传感器 网 关 信号 调理 /转换 
| | 执行 
传感器 1 | | 传感器 2 | -… [传感器 | | 机构 
下 1 上 
三 一 二 一 一 一 一 人 
1 | 被 控 /| 。 | 被 控 / 被 控 /| | 
1 | 被 测 | 。 | 被 测 被 测 | 一 一 
| | 对 象 ]| | 对 象 2 对 象 n| | 
图 12 由 传感器 组 成 的 感知 结构 
1.2.2 网 络 构建 层 


网 络 是 物 联 网 最 重要 的 基础 设施 之 一 。 网 络 构建 层 在 物 联网 4 层 模型 中 连接 感知 识别 
层 和 管理 服务 层 , 具 有 强大 的 纽带 作用 高效、 稳定 及时、 安全 地 传输 上 下 层 的 数据 。 
物 联 网 在 网 络 构建 层 存在 各 种 网 络 形式 ,通常 使 用 的 网 络 形式 如 下 所 述 。 
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(1) 互联 网 : 互联 网 和 电信 网 是 物 联 网 的 核心 网 络 ,平台 和 技术 支持 。IPv6 的 使 用 扫 
清 了 可 接 人 网 络 的 终端 设备 在 数量 上 的 限制 。 

(2) 无 线 宽带 网 : WiFi 和 WiMAX 等 无 线 宽带 技术 的 覆盖 范围 较 广 ,传输 速度 较 快 ,为 
物 联网 提供 高 速 可靠、 廉价 且 不 受 接 人 设备 位 置 限制 的 互联 手段 。 

(3) 无 线 低速 网 : ZigBee、 蓝 牙 和 红外 等 低速 网 络 协议 能 够 适应 物 联网 中 能 力 较 低 的 节 
点 的 低速 率 、 低 通信 半径 、 低 计算 能 力 和 低能 量 来 源 等 特征 。 

(4) 移动 通信 网 : 移动 通信 和 网络 将 成 为 “全 面 、 随 时、 随地 ”传输 信息 的 有 效 平台 。 高 速 、 
实时 ,高 覆盖 率 、 多 元 化 处 理 多 媒体 数据 ,为 "物品 触 网 ?创造 条 件 。 

网 络 构建 层 的 结构 如 图 1. 3 所 示 。 


[2) ZigBee Alliar Alliance 


无 线 广 域 Sn 互联 网 “= 区 训 史 


ZigBee 


wi 4 MM Bluetooth 


图 13 网 络 构 建 层 


1.2.3 管理 服务 层 


管理 服务 层 位 于 感知 识别 层 和 网 络 构建 层 之 上 ,综合 应 用 层 之 下 ,人 们 通常 把 物 联网 应 
用 冠 以 “智能 ”的 名 称 , 如 智能 电网 、 智 能 交通 ,智能 物流 等 ,其 中 的 智慧 就 来 自 这 一 层 。 

当 感 知识 别 层 生成 的 大 量 信息 经 过 网 络 层 传输 汇聚 到 管理 服务 层 ,管理 服务 层 解 决 数 
据 如 何 存储 (数据 库 与 海量 存储 技术 )` 如 何 检索 (搜索 引擎 ) 如何 使 用 (数据 挖掘 与 机 器 学 
习 )、 如 何不 被 滥用 (数据 安全 与 隐私 保护 ) 等 问题 。 


1. 数据 库 


物 联网 数据 的 特点 是 海量 性 、 多 态 性 ,关联 性 及 语义 性 。 为 适应 这 种 需求 ,在 物 联 网 中 
主要 使 用 的 是 关系 数据 库 系 统 和 新 兴 数 据 库 系 统 。 

(1) 关系 数据 库 系统 作为 一 项 有 着 近 半 个 世纪 历史 的 数据 处 理 技术 , 仍 可 在 物 联 网 中 
使 用 ,为 物 联网 的 运行 提供 支撑 。 

(2) 新 兴 数 据 库 系统 (NoSQL 数据 库 ) 针 对 非 关 系 型 .分布 式 的 数据 存储 ,并 不 要 求 数 
据 库 具有 确定 的 表 模 式 .通过 避免 连接 操作 提升 数据 库 性 能 。 


2. 海量 信息 存储 


海量 信息 存储 早期 采用 大 型 服务 器 存储 .基本 都 是 以 服务 器 为 中 心 的 处 理 模 式 , 使 用 直 
连 存储 (Direct Attached Storage,DAS) ,存储 设备 (包括 磁盘 阵列 、 磁 带 库 和 光盘 库 等 ) 作 为 
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服务 器 的 外 设 使 用 。 

随 着 网 络 技 术 的 发 展 ,服务 器 之 间 的 数据 交换 或 向 磁盘 库 等 存储 设备 的 备份 都 要 通过 
局 域 网 进行 ,主要 是 用 网 络 附 加 存储 (Network Attached Storage, NAS) 技 术 来 实现 网 络 存 
储 , 但 这 将 占用 大 量 的 网 络 开销 ,严重 影响 网 络 的 整体 性 能 。 

为 了 能 够 共享 大 容量 、 高 速度 存储 设备 ,并 且 不 占用 局 域 网 资源 的 海量 信息 传输 和 备 
份 , 就 需要 专用 存储 区 域 网 络 (Storage Area Network,SAN) 来 实现 。 


3. 数据 中 心 


数据 中 心 不 仅 包括 计算 机 系统 和 配套 设备 (如 通信 和 存储 设备 ) ,还 包括 元 余 的 数据 通 
信 连 接 、 环 境 控制 设备 ,监控 设备 及 安全 装置 ,是 一 个 大 型 的 系统 工程 。 它 通过 高 度 的 安全 
性 和 可 靠 性 提供 及 时 持续 的 数据 服务 ,为 物 联网 应 用 提供 良好 的 支持 。 

典型 的 数据 中 心 的 实例 是 Google/ Hadoop 数据 中 心 。 


4. 搜索 引擎 


Web 搜索 引擎 是 一 个 能 够 在 合理 响应 时 间 内 ,根据 用 户 的 查询 关键 词 ,返回 一 个 包含 相 
关 信 息 的 结果 列表 (hits list) 服 务 的 综合 体 。 

传统 的 Web 搜索 引擎 是 基于 查询 关键 词 的 ,对 于 相同 的 关键 词 ,会 得 到 相同 的 查询 结 
果 。 而 物 联网 时 代 的 搜索 引擎 必须 从 智能 物体 角度 思考 搜索 引擎 与 物体 之 间 的 关系 , 主动 
识别 物体 并 提取 有 用 信息 。 从 用 户 角度 出 发 的 多 模 态 信息 利用 ,使 查询 结果 更 精确 ,更 智 
能 ,更 定制 化 。 


5. 数据 挖掘 技术 


物 联网 需要 对 海量 的 数据 进行 更 透彻 的 感知 ,这 就 要 求 对 海量 数据 多 维度 整合 与 分 析 ， 
更 深入 的 智能 化 需要 普 适 性 的 数据 搜索 和 服务 ,需要 从 大 量 数据 中 获取 潜在 有 用 的 且 可 被 
人 理解 的 模式 ,基本 类 型 有 关联 分 析 、 聚 类 分 析 和 演化 分 析 等 。 这 些 需 求 都 使 用 了 数据 挖掘 
技术 。 

例如 ,将 数据 挖掘 技术 用 于 精准 农业 ,可 以 实时 监测 环境 数据 ,挖掘 影响 产量 的 重要 因 
素 ,获得 产量 最 大 化 配置 方式 ;而 用 于 市 场 营销 , 则 可 以 通过 数据 库 行 销 和 货 篮 分 析 等 方式 
获取 顾客 购物 取向 和 兴趣 。 


1.2.4 综合 应 用 层 


传统 互联 网 经 历 了 以 数据 为 中 心 到 以 人 为 中 心 的 转化 ,典型 应 用 包括 文件 传输 .电子 邮 
件 ,万 维 网 ,电子 商务 ,视频 点 播 .在 线 游戏 和 社交 网 络 等 。 

而 物 联 网 应 用 以 * 物 ?或 者 物理 世界 为 中 心 ,涵盖 物品 追踪 、 环 境 感知 .智能 物流 、 智 能 交 
通 和 智能 电网 等 。 物 联网 应 用 目前 正 处 于 快速 增长 期 ,具有 多 样 化 ,规模 化 、 行 业 化 等 特点 。 
例如 : 

(1) 智能 物流 : 现代 物流 系统 希望 利用 信息 生成 设备 ,如 RFID 设备 .感应 器 或 全 球 定 
位 系统 等 种 种 装置 与 互联 网 结合 起 来 形成 一 个 巨大 的 网 络 , 并 能 够 在 这 个 物 联 化 的 物流 网 
络 中 实现 智能 化 的 物流 管理 。 
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(2) 智能 交通 : 通过 在 基础 设施 和 交通 工具 当中 广泛 应 用 信息 和 通信 技术 来 提高 交 
通 运输 系统 的 安全 性 .可 管理 性 和 运输 效能 ,同时 降低 能 源 消耗 和 对 地 球 环境 的 负面 
影响 。 

(3) 绿色 建筑 : 物 联网 技术 为 绿色 建筑 带 来 了 新 的 力量 。 通 过 建立 以 节能 为 目标 的 建 
筑 设 备 监控 网 络 ,将 各 种 设备 和 系统 融合 在 一 起 ,形成 以 智能 处 理 为 中 心 的 物 联网 应 用 系 
统 , 有 效 地 为 建筑 节能 减 排 提供 有 力 的 支撑 。 

(4) 智能 电网 : 以 先进 的 通信 技术 、 传 感 器 技术 和 信息 技术 为 基础 ,以 电网 设备 间 的 信 
息 交 互 为 手段 ,以 实现 电网 运行 的 可 靠 、 安 全 ,经 济 、 高 效 ,环境 友好 和 使 用 安全 为 目的 的 先 
进 的 现代 化 电力 系统 。 

(5) 环境 监测 ; 通过 对 人 类 和 环境 有 影响 的 各 种 物质 的 含量 、 排 放量 以 及 各 种 环境 状态 
参数 的 检测 ,跟踪 环境 质量 的 变化 ,确定 环境 质量 水 平 ,为 环境 管理 ,污染 治理 和 防 灾 减 灾 等 
工作 提供 基础 信息 ,方法 指引 和 质量 保证 。 


1.3 物 联网 的 安全 技术 分 析 


我 们 在 分 析 物 联网 的 安全 性 时 ,也 相应 地 将 其 分 为 3 个 逻辑 层 , 即 感知 识别 层 、 网 络 构 
建屋 和 管理 服务 层 。 除 此 之 外 ,在 物 联 网 的 综合 应 用 方面 还 应 该 有 一 个 应 用 层 , 它 是 对 智能 
处 理 后 的 信息 的 利用 。 在 某 些 框架 中 ,尽管 智能 处 理 与 应 用 层 可 能 被 作为 同一 迎 辑 层 进行 
处 理 , 但 从 信息 安全 的 角度 考虑 ,将 应 用 层 独立 出 来 更 容易 建立 安全 架构 。 本 节 从 不 同 层 次 
分 析 物 联网 对 信息 安全 的 需求 和 如 何 建立 安全 架构 。 

其 实 , 对 物 联网 的 几 个 逻辑 层 , 目 前 已 经 有 许多 有 针对 性 的 密码 技术 手段 和 解决 方案 。 
但 需要 说 明 的 是 , 物 联 网 作为 一 个 应 用 整体 ,各 个 层 独 立 的 安全 措施 简单 相 加 不 足以 提供 可 
靠 的 安全 保障 。 而 且 , 物 联网 与 几 个 逻辑 层 所 对 应 的 基础 设施 之 间 还 存在 许多 本 质 区 别 。 
最 基本 的 区 别 可 以 从 下 述 几 点 看 出 : 

(1) 已 有 的 对 传 感 网 (感知 识别 层 ) 、 互 联网 和 移动 网 (网 络 构 建 层 )、 安 全 多 方 计算 和 云 
计算 (管理 服务 层 ) 等 的 一 些 安全 解决 方案 在 物 联网 环境 可 能 不 再 适用 。 

首先 , 物 联 网 所 对 应 的 传 感 网 的 数量 和 终端 物体 的 规模 是 单个 传 感 网 所 无 法 相 比 的 ;其 
次 , 物 联 网 所 连接 的 终端 设备 或 器 件 的 处 理 能 力 将 有 很 大 差异 ,它们 之 间 可 能 需要 相互 
作用 ; 

再 次 , 物 联网 所 处 理 的 数据 量 将 比 现在 的 互联 网 和 移动 网 都 大 得 多 。 

(2) 即使 分 别 保证 感知 识别 层 、 网 络 构建 层 和 管理 服务 层 的 安全 ,也 不 能 保证 物 联网 的 
安全 。 

这 是 因为 物 联网 是 融 几 个 层 于 一 体 的 大 系统 ,许多 安全 问题 来 源 于 系统 整合 ; 物 联网 的 
数据 共享 对 安全 性 提出 了 更 高 的 要 求 ; 物 联网 的 应 用 对 安全 提出 了 新 要 求 , 比 如 隐私 保护 不 
属于 任 一 层 的 安全 需求 ,但 却 是 许多 物 联网 应 用 的 安全 需求 。 

鉴于 以 上 诸 原 因 , 对 物 联网 的 发 展 需 要 重新 规划 并 制定 可 持续 发 展 的 安全 架构 ,使 物 联 
网 在 发 展 和 应 用 过 程 中 ,其 安全 防护 措施 能 够 不 断 完善 。 


[AN A 
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1.3.1 物 联网 安全 的 逻辑 层次 


与 互联 网 相 比 , 物 联网 主要 实现 人 与 物 \ 物 与 物 之 间 的 通信 ,通信 的 对 象 扩大 到 了 物品 。 
根据 功能 的 不 同 , 物 联网 网 络 体系 结构 主要 需要 考虑 3 个 逻辑 层 , 即 底层 是 用 来 信息 采集 的 
感知 识别 层 , 中 间 层 是 数据 传输 的 网 络 构建 层 , 顶 层 则 是 包括 管理 服务 层 和 综合 应 用 层 的 应 
用 /中 间 件 层 。 

由 于 物 联网 安全 的 总 体 需 求 就 是 物理 安全 、 信 息 采 集 安全 、 信 息 传输 安全 和 信息 处 理 安 
全 的 综合 ,安全 的 最 终 目标 是 确保 信息 的 机 密 性 、 完 整 性 真实 性 和 数据 新 鲜 性 ,因此 下 面 结 
合 物 联 网 DCM (Device Connect Manage) 模 式 给 出 相应 的 安全 层次 模型 (如 图 1.4 所 示 )， 
并 对 每 层 涉及 的 关键 技术 安全 问题 进行 阐述 。 


Ne 1 
/1 1 

A 应 用 [| 解析 | Web 从 

应 用 La | 集成 | 服务 骨 服务 | 信息 处 理 。 恒 

中 间 件 层 AN- 个 下 下 1 安全 用 

-二 

| 中 间 件 层 1 
Wa A- 人 

A 1 上 {一 由 息 

/ | 网 络 与 信息 | 

网 络 构建 层 \、_ 的 | ee 无 线 网 络 | 和 = 社会 系统 安全 从 
Ns ee ee i = 
= eh | ee 

A! fo | fs | | 7 

感知 识别 层 人 > 向 | 信息 采集 安全 点 

人 KO 
i RFID 上 1 

| | 标签 人 | 物 加 家 全。 | 多 


图 14 物 联 网 安全 的 逻辑 层次 结构 


1.3.2 物 联网 面 对 的 特殊 安全 问题 


根据 物 联网 自身 的 特点 , 物 联网 除了 面 对 移 动 通信 网 络 的 传统 网 络 安全 问题 之 外 ,还 存 
在 着 一 些 与 已 有 移动 网 络 安 全 不 同 的 特殊 安全 问题 。 这 是 由 于 物 联 网 是 由 大 量 的 机 器 构成 
的 ,缺少 人 对 设备 的 有 效 监控 ,并 且 数 量 庞大 ,设备 集群 等 相关 特点 造成 的 ,这 些 特殊 的 安全 
问题 主要 有 以 下 几 个 方面 。 


1. 物 联网 机 器 和 感知 节点 的 本 地 安全 问题 


由 于 物 联网 的 应 用 可 以 取代 人 来 完成 一 些 复杂 、 危 险 和 机 械 的 工作 。 所 以 物 联 网 机 器 
和 感知 节点 多 数 部 署 在 无 人 监控 的 场景 中 。 攻 击 者 可 以 轻易 地 接触 到 这 些 设备 ,从 而 对 他 
们 造成 破坏 ,甚至 通过 本 地 操作 更 换 机 器 的 软 硬 件 。 
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2. 感知 网 络 的 传输 与 信息 安全 问题 


感知 节点 通常 功能 简单 (如 自动 温度 计 ) ,携带 能 量 少 (使 用 电池 ) ,使 得 它们 无 法 拥有 复 
杂 的 安全 保护 能 力 , 而 感知 网 络 多 种 多 样 ,从 温度 测量 到 水 文 监控 ,从 道路 导航 到 自动 控制 ， 
它们 的 数据 传输 和 消息 也 没有 特定 的 标准 ,所 以 没 法 提供 统一 的 安全 保护 体系 。 


3. 核心 网 络 的 传输 与 信息 安全 问题 


核心 网 络 具 有 相对 完整 的 安全 保护 能 力 , 但 是 由 于 物 联 网 中 节点 数量 庞大 , 且 以 集群 方 
式 存 在 ,因此 会 导致 在 数据 传播 时 ,由 于 大 量 机 器 的 数据 发 送 使 网 络 拥塞 ,产生 拒绝 服务 攻 
击 。 此 外 , 现 有 通信 网 络 的 安全 架构 都 是 从 人 通信 的 角度 设计 的 ,并 不 适用 于 机 器 的 通信 。 
使 用 现 有 安全 机 制 会 割裂 物 联网 机 器 间 的 逻辑 关系 。 


4. 物 联网 业务 的 安全 问题 


由 于 物 联 网 没 备 可 能 是 先 部 署 后 连接 网 络 ,而 物 联网 节点 又 无 人 看 守 , 所 以 如 何 对 物 联 
网 设备 进行 远程 控制 信息 和 业务 信息 配置 就 成 了 难题 。 

另外 ,庞大 且 多 样 化 的 物 联 网 平台 必然 需要 一 个 强大 而 统一 的 安全 管理 平台 ,否则 独立 
的 平台 会 被 各 式 各 样 的 物 联网 应 用 所 淹没 ,但 如 此 一 来 ,如 何 对 物 联网 机 器 的 日 志 等 安全 信 
息 进行 管理 成 为 新 的 问题 ,并 且 可 能 割裂 网 络 与 业务 平台 之 间 的 信任 关系 ,导致 新 一 轮 安全 
问题 的 产生 。 


1.3.3 物 联网 的 安全 技术 分 析 


传统 的 网 络 中 ,网 络 层 的 安全 和 业务 层 的 安全 是 相互 独立 的 ,就 如 同 领导 间 的 交流 方式 
与 秘书 间 的 交流 方式 是 不 同 的 。 而 物 联 网 的 特殊 安全 问题 很 大 一 部 分 是 由 于 物 联网 是 在 现 
有 移动 网 络 基础 上 集成 了 感知 网 络 和 应 用 平台 带 来 的 ,也 就 是 说 ,领导 与 秘书 合 二 为 一 了 。 
因此 ,移动 网 络 中 的 大 部 分 机 制 仍然 可 以 适用 于 物 联网 并 能 够 提供 一 定 的 安全 性 ,如 认证 机 
制 和 加 密 机 制 等 。 但 还 是 需要 根据 物 联网 的 特征 对 安全 机 制 进 行 调整 和 补充 。 


1. 物 联 网 中 的 业务 认证 机 制 


传统 的 认证 是 区 分 不 同 层次 的 ,网 络 层 的 认证 只 负责 网 络 层 的 身份 鉴别 ,业务 层 的 认证 
只 负责 业务 层 的 身份 鉴别 ,两 者 独立 存在 。 但 是 在 物 联 网 中 ,大 多 数 情况 下 ,机 器 都 拥有 专 
门 的 用 途 , 因 此 其 业务 应 用 与 网 络 通信 紧 紧 地 绑 在 一 起 。 由 于 网 络 层 的 认证 是 不 可 缺少 的 ， 
那么 其 业务 层 的 认证 机 制 就 不 再 是 必需 的 ,而 是 可 以 根据 业务 由 谁 来 提供 和 业务 的 安全 敏 
感 程度 来 设计 。 

例如 , 当 物 联网 的 业务 由 运营 商 提供 时 ,就 可 以 充分 利用 网 络 层 认 证 的 结果 而 不 需要 进 
行业 务 层 的 认证 ; 当 物 联网 的 业务 由 第 三 方 提供 并 且 无 法 从 网 络 运营 商 处 获得 密 钥 等 安全 
参数 时 , 它 就 可 以 发 起 独立 的 业务 认证 而 不 用 考虑 网 络 层 的 认证 ;或 者 当 业 务 是 敏感 业务 ， 
如 金融 类 业务 时 ,一 般 业 务 提供 者 会 不 信任 网 络 层 的 安全 级 别 ,而 使 用 更 高 级 别 的 安全 保 
护 ,这 时 就 需要 做 业务 层 的 认证 ;而 当 业 务 是 普通 业务 时 ,如 气温 采集 业务 等 ,业务 提供 者 认 
为 网 络 认 证 已 经 足够 ,就 不 再 需要 业务 层 的 认证 。 
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2. 物 联网 中 的 加 密 机 制 


传统 的 网 络 层 加 密 机 制 是 逐 跳 加 密 , 即 信息 在 发 送 过 程 中 ,虽然 在 传输 时 是 加 密 的 ,但 
是 需要 不 断 地 在 每 个 经 过 的 节点 上 解密 和 加 密 , 即 在 每 个 节点 上 都 是 明文 的 。 而 传统 的 业 
务 层 加 密 机 制 则 是 端 到 端的 , 即 信息 只 在 发 送 端 和 接收 端 才 是 明文 ,而 在 传输 的 过 程 和 转发 
节点 上 都 是 密 文 。 由 于 物 联 网 中 网 络 连接 和 业务 使 用 紧密 结合 ,就 面临 到 底 使 用 逐 跳 加 密 
还 是 端 到 端 加 密 的 选择 。 

对 于 逐 跳 加 密 来 说 , 它 可 以 只 对 有 必要 受 保 护 的 链接 进行 加 密 ,并且 由 于 逐 跳 加 密 在 网 
络 层 进行 ,所 以 可 以 适用 于 所 有 业务 , 即 不 同 的 业务 可 以 在 统一 的 物 联网 业务 平台 上 实施 安 
全 管理 ,从 而 做 到 安全 机 制 对 业务 的 透明 。 这 就 保证 了 逐 跳 加 密 的 低 时 延 、 高 效率 、 低 成 本 、 
可 扩展 性 好 的 特点 。 但 是 ,因为 逐 跳 加 密 需 要 在 各 传送 节点 上 对 数据 进行 解密 ,所 以 各 节点 
都 有 可 能 解读 被 加 密 消息 的 明文 ,因此 逐 跳 加 密 对 传输 路 径 中 的 各 传送 节点 的 可 信任 度 要 
求 很 高 。 

而 对 于 端 到 端的 加 密 方式 来 说 , 它 可 以 根据 业务 类 型 选择 不 同 的 安全 策略 ,从 而 为 高 安 
全 要 求 的 业务 提供 高 安全 等 级 的 保护 。 不 过 端 到 端的 加 密 不 能 对 消息 的 目的 地 址 进行 保 
护 , 因 为 每 一 个 消息 所 经 过 的 节点 都 要 以 此 目的 地 址 来 确定 如 何 传输 消息 。 这 就 导致 端 到 
端 加 密 方式 不 能 掩盖 被 传输 消息 的 源 点 与 终点 ,并 容易 受到 对 通信 业务 进行 分 析 而 发 起 的 
恶意 攻击 。 另 外 从 国家 政策 角度 来 说 , 端 到 端的 加 密 也 无 法 满足 国家 合法 监听 政策 的 需求 。 

由 这 些 分 析 可 知 ,对 一 些 安全 要 求 不 是 很 高 的 业务 ,在 网 络 能 够 提供 逐 跳 加 密 保护 的 前 
提 下 ,业务 层 端 到 端的 加 密 需求 就 显得 并 不 重要 。 但 是 对 于 高 安全 需求 的 业务 , 端 到 端的 加 
密 仍 然 是 其 首选 。 因 而 ,由 于 不 同 物 联网 业务 对 安全 级 别 的 要 求 不 同 ,可 以 将 业务 层 端 到 端 
安全 作为 可 选项 。 

由 于 物 联网 的 发 展 已 经 开始 加 速 , 对 物 联 网 安全 的 需求 日 益 迫 切 ,需要 明确 物 联网 中 的 
特殊 安全 需求 ,考虑 如 何 为 物 联网 提供 端 到 端的 安全 保护 ,这 些 安全 保护 功能 又 应 该 怎么 样 
用 现 有 机 制 来 解决 。 此 外 , 随 着 物 联 网 的 发 展 , 机 器 间 集 群 概念 的 引入 ,还 需要 重点 考虑 如 
何 用 群 组 概念 解决 群 组 认证 的 问题 。 


1.3.4 物 联网 安全 技术 分 类 


物 联 网 在 不 同 层次 可 以 采取 的 不 同 的 安全 技术 。 一 般 的 物 联网 安全 技术 分 类 见 图 1.5 
所 示 。 


应 用 环境 安全 技术 
可 信 终 端 、 身 份 认 证 、 访 问 控 制 、 安 全 审计 等 


网 络 环境 安全 技术 
无 线 网 安全 、 虚 拟 专用 网 、 传 输 安全 、 安 全 路 由 、 
防火 墙 、 安 全 域 策略 、 安 全 审计 等 


信息 安全 防御 关键 技术 
攻击 监测 、 内 容 分 析 、 病 毒 防治 、 访问 控制 、 应 急 反 应 、 战 略 预警 等 


信息 安全 基础 核心 技术 
密码 技术 、 高 速 密码 芯片 、 公 钥 基础 设施 、 信 息 系统 平台 安全 等 


图 15 物 联网 安全 技术 分 类 
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以 密码 技术 为 核心 的 基础 信息 安全 平台 及 基础 设施 建设 是 物 联 网 安全 ,特别 是 数据 隐 
私 保护 的 基础 ,安全 平台 同时 包括 安全 事件 应 急 响 应 中 心 .数据 备份 和 灾难 恢复 设施 ,安全 
管理 等 。 

安全 防御 技术 主要 是 为 了 保证 信息 的 安全 而 采用 的 一 些 方法 ,在 网 络 和 通信 传输 安全 
方面 ,主要 针对 网 络 环境 的 安全 技术 ,如 VPN 路 由 等 ,实现 网 络 互联 过 程 的 安全 , 旨 在 确保 
通信 的 机 密 性 、 完 整 性 和 可 用 性 。 

而 应 用 环境 安全 技术 主要 针对 用 户 的 访问 控制 与 审计 ,以 及 应 用 系统 在 执行 过 程 中 产 
生 的 安全 问题 。 

根据 上 述 描述 的 物 联网 层次 架构 如 下 : 

(1) 感知 识别 层 通过 各 种 传感器 节点 获取 各 类 数据 ,包括 物体 属性 、 环 境 状态 , 行 为 状 
态 等 动态 和 静态 信息 ,通过 传感器 网 络 或 射频 阅读 器 等 网 络 和 设备 实现 数据 在 感知 识别 层 
的 汇聚 和 传输 。 

(2) 网 络 构建 层 主要 通过 移动 通信 和 网、 卫星 网 和 互联 网 等 网 络 基础 实施 ,实现 对 感知 层 
信息 的 接 入 和 传输 。 

(3) 管理 服务 层 是 为 上 层 应 用 服务 建立 起 一 个 高 效 可 靠 的 支撑 技术 平台 ,通过 并 行 数 
据 挖掘 处 理 等 过 程 为 应 用 提供 服务 ,屏蔽 底层 的 网 络 和 信息 的 异 构 性 。 

(4) 综合 应 用 层 是 根据 用 户 的 需求 建立 相应 的 业务 模型 ,运行 相应 的 应 用 系统 。 

在 各 个 层次 中 安全 和 管理 贯穿 于 其 中 。 


1.4 感知 识别 层 的 安全 需求 和 安全 机 制 


通过 前 面 的 讨论 ,我 们 对 感知 识别 层 已 经 有 了 大 致 的 了 解 。 感 知识 别 层 的 任务 是 全 面 
感知 外 界 信息 ,或 者 说 是 原始 信息 收集 器 。 该 层 的 典型 设备 包括 RFID 装置 .各 类 传感器 
(如 红外 ,超声 .温度 ,湿度 和 速度 等 )、 图 像 捕捉 装置 (摄像 头 )、 全 球 定位 系统 (GPS) 和 激光 
扫描 仪 等 。 

这 些 设备 收集 的 信息 通常 具有 明确 的 应 用 目的 ,传统 上 这 些 信息 直接 被 处 理 并 应 用 ,如 
公路 摄像 头 捕 捉 的 图 像 信息 直接 用 于 交通 监控 。 但 是 在 物 联 网 应 用 中 ,多 种 类 型 的 感知 信 
息 可 能 会 同时 处 理 , 综 合 利用 ,甚至 不 同感 应 信息 的 结果 将 影响 其 他 控制 调节 行为 ,如 湿度 
的 感应 结果 可 能 会 影响 到 温度 或 光照 控制 的 调节 。 

同时 , 物 联网 应 用 强调 的 是 信息 共享 ,这 是 物 联 网 区 别 于 传 感 网 的 最 大 特点 之 一 。 比 如 
交通 监控 录像 信息 可 能 还 同时 被 用 于 公安 侦破 、 城 市 改造 规划 设计 、 城 市 环境 监测 等 。 于 
是 ,如 何 处 理 这 些 感知 信息 将 直接 影响 到 信息 的 有 效应 用 。 为 了 使 同样 的 信息 被 不 同 的 应 
用 领域 有 效 地 使 用 ,应 该 有 综合 处 理 平台 ,这 就 是 物 联 网 的 智能 管理 服务 层 , 因 此 这 些 感知 
信息 需要 传输 到 一 个 处 理 平台 。 

在 考虑 感知 信息 进入 网 络 构建 层 之 前 ,我 们 把 传 感 网 络 本 身 ( 包 括 上 述 各 种 感知 器 件 构 
成 的 网 络 ) 看 作 感 知 的 部 分 。 感 知 信息 要 通过 一 个 或 多 个 与 外 界 网 络 连接 的 传 感 节点 , 称 为 
网 关节 点 (sink 或 gateway) ,所 有 与 传 感 网 内 部 节点 的 通信 都 需要 经 过 网 关节 点 与 外 界 联 
系 , 因 此 在 物 联 网 的 传 感 层 ,只 需要 考虑 传 感 网 本 身 的 安全 性 即 可 。 
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1.4.1 感知 识别 层 的 安全 需求 


感知 识别 层 可 能 遇 到 的 安全 挑战 包括 下 列 情况 : 

(1) 网 关节 点 被 敌手 控制 一 一 安全 性 全 部 丢失 ; 

(2) 普通 节点 被 敌手 控制 (敌手 掌握 节点 密 钥 ); 

(3) 普通 节点 被 敌手 捕获 (但 由 于 敌手 没有 得 到 节点 密 钥 , 因 而 节点 没有 被 控制 ); 

(4) 节点 (普通 节点 或 网 关节 点 ) 受 到 来 自 网 络 的 DOS 攻击 ; 

(5) 接 人 到 物 联网 的 超大 量 节点 的 标识 .识别 .认证 和 控制 问题 。 

敌手 捕获 网 关节 点 不 等 于 控制 该 节点 ,一 个 网 关节 点 实际 被 敌手 控制 的 可 能 性 很 小 , 因 
为 需要 掌握 该 节点 的 密 钥 ( 与 内 部 节点 通信 的 密 钥 或 与 远程 信息 处 理 平台 共享 的 密 钥 ) ,而 
这 是 很 困难 的 。 

如 果 政 手掌 握 了 一 个 网 关节 点 与 内 部 节点 的 共享 密 钥 ,那么 他 就 可 以 控制 网 关节 点 ,并 
由 此 获得 通过 该 网 关节 点 传 出 的 所 有 信息 。 但 如 果 敌 手 不 知道 该 网 关节 点 与 远程 信息 处 理 
平台 的 共享 密 钥 ,那么 他 就 不 能 算 改 发 送 的 信息 ,只 能 阻止 部 分 或 全 部 信息 的 发 送 ,但 这 样 
容易 被 远程 信息 处 理 平台 觉察 到 。 因 此 ,车 能 识别 一 个 被 敌手 控制 的 传 感 网 , 便 可 以 降低 其 
至 避免 由 敌手 控制 的 传 来 的 虚假 信息 所 造成 的 损失 。 

比较 普遍 的 情况 是 某 些 普通 网 络 节 点 被 敌手 控制 而 受到 的 攻击 ,网 络 与 这 些 普通 节点 
交互 的 所 有 信息 都 被 敌手 获取 。 政 手 的 目的 可 能 不 仅仅 是 被 动 窃听 ,还 通过 所 控制 的 网 络 
节点 传输 一 些 错误 数据 。 因 此 ,安全 需求 应 包括 对 恶意 节点 行为 的 判断 和 对 这 些 节 点 的 阻 
断 , 以 及 在 阻 断 一 些 恶意 节点 后 网 络 的 连通 性 如 何 保障 。 

通过 对 网 络 分 析 可 知 ,更 为 常见 的 情况 是 敌手 捕获 一 些 网 络 节点 ,不 需要 解析 它们 的 预 
置 密 钥 或 通信 密 钥 (这 种 解析 需要 代价 和 时 间 ) ,只 需要 鉴别 节点 种 类 ,比如 检查 节点 是 用 于 
检测 温度 ,湿度 还 是 噪音 等 。 有 时 候 这 种 分 析 对 敌手 是 很 有 用 的 。 因 此 安全 的 传 感 网 络 应 
该 有 保护 其 工作 类 型 的 安全 机 制 。 

既然 最 终 要 接 人 其 他 外 在 网 络 , 包 括 互联 网 ,那么 就 难免 受到 来 自 外 在 网 络 的 攻击 。 目 
前 能 预期 到 的 主要 攻击 除了 非法 访问 外 ,应 该 就 是 拒绝 服务 (DOS) 攻 击 了 。 因 为 节点 的 通 
常 资源 (计算 和 通信 能力 ) 有 限 ,所 以 对 抗 DOS 攻击 的 能 力 比 较 薄 弱 , 在 互联 网 环境 里 不 被 
识别 为 DOS 攻击 的 访问 就 可 能 使 网 络 瘫痪 ,因此 ,安全 应 该 包括 节点 抗 DOS 攻击 的 能 力 。 
考虑 到 外 部 访问 可 能 直接 针对 传 感 网 内 部 的 某 个 节点 (如 远程 控制 启动 或 关闭 红外 装置 )， 
而 内 部 普通 节点 的 资源 一 般 比 网 关节 点 更 小 ,因此 ,网 络 抗 DOS 攻击 的 能 力 应 包括 网 关节 
点 和 普通 节点 两 种 情况 。 

网 络 接 人 互联 网 或 其 他 类 型 的 网 络 所 带 来 的 问题 不 仅仅 是 如 何 对 抗 外 来 攻击 的 问题 ， 
更 重要 的 是 如 何 与 外 部 设备 相互 认证 的 问题 ,而 认证 过 程 又 需要 特别 考虑 传 感 网 资源 的 有 
限 性 ,因此 认证 机 制 需要 的 计算 和 通信 代价 都 必须 尽 可 能 小 。 此 外 ,对 外 部 互联 网 来 说 ,其 
所 连接 的 不 同 网 络 的 数量 可 能 是 一 个 庞大 的 数字 ,如 何 区 分 这 些 网 络 及 其 内 部 节点 ,有 效 地 
识别 它们 ,是 安全 机 制 能 够 建立 的 前 提 。 

针对 上 述 挑战 ,感知 层 的 安全 需求 可 以 总 结 为 如 下 几 点 : 

(1) 机密 性 : 多 数 网 络 内 部 不 需要 认证 和 密 钥 管理 ,如 统一 部 署 的 共享 一 个 密 钥 的 传 
感 网 。 
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(2) 密 钥 协商 : 部 分 内 部 节点 进行 数据 传输 前 需要 预先 协商 会 话 密 钥 。 

(3) 节点 认证 : 个 别 网 络 (特别 在 数据 共享 时 ) 需 要 节点 认证 ,确保 非法 节点 不 能 接 入 。 

(4) 信誉 评估 : 一 些 重要 网 络 需 要 对 可 能 被 敌手 控制 的 节点 行为 进行 评估 ,以 降低 敌手 
入 侵 后 的 危害 ( 某 种 程度 上 相当 于 入侵 检测 ) 。 

(5) 安全 路 由 : 几乎 所 有 网 络 内 部 都 需要 不 同 的 安全 路 由 技术 。 


1.4.2 感知 识别 层 的 安全 机 制 


了 解 了 网 络 的 安全 威胁 ,就 容易 建立 合理 的 安全 架构 。 在 网 络 内 部 需要 有 效 的 密 钥 管 
理 机 制 , 用 于 保障 传感器 网 络 内 部 通信 的 安全 。 网 络 内 部 的 安全 路 由 和 连通 性 解决 方案 等 
都 可 以 相对 独立 地 使 用 。 由 于 网 络 类 型 的 多 样 性 ,很 难 统一 要 求 有 哪些 安全 服务 ,但 机 密 性 
和 认证 性 都 是 必要 的 。 

机 密 性 需要 在 通信 时 建立 一 个 临时 会 话 密 钥 ,而 认证 性 可 以 通过 对 称 密码 或 非 对 称 密 
码 方案 解决 。 使 用 对 称 密码 的 认证 方案 需要 预 置 节点 间 的 共享 密 钥 ,在 效率 上 也 比较 高 , 消 
耗 网 络 节点 的 资源 较 少 ,许多 网 络 都 选用 此 方案 。 

而 使 用 非 对 称 密码 技术 的 传 感 网 一 般 具 有 较 好 的 计算 和 通信 能力 ,并 且 对 安全 性 要 求 
更 高 。 在 认证 的 基础 上 完成 密 钥 协商 是 建立 会 话 密 钥 的 必要 步骤 。 安 全 路 由 和 入 侵 检测 等 
也 是 网 络 应 具有 的 性 能 。 

由 于 网 络 的 安全 一 般 不 涉及 其 他 网 络 的 安全 ,因此 是 相对 较 独 立 的 问题 ,有 些 已 有 的 安 
全 解决 方案 在 物 联网 环境 中 也 同样 适用 。 但 由 于 物 联 网 环境 中 遭受 外 部 攻击 的 机 会 增 大 ， 
因此 用 于 独立 的 传统 安全 解决 方案 需要 提升 安全 等 级 后 才能 使 用 ,也 就 是 说 在 安全 的 要 求 
上 更 高 ,这 仅仅 是 量 的 要 求 , 没 有 质 的 变化 。 相 应 地 ,安全 需求 所 涉及 的 密码 技术 包括 轻 量 
级 密码 算法 、 轻 量 级 密码 协议 和 可 设 定安 全 等 级 的 密码 技术 等 。 


1.5 网 络 构建 层 的 安全 需求 和 安全 机 制 


物 联 网 的 网 络 构建 层 主要 用 于 把 感知 层 收集 到 的 信息 安全 可 靠 地 传输 到 管理 服务 层 
(信息 处 理 层 ) ,然后 根据 不 同 的 应 用 需求 进行 信息 处 理 , 即 网 络 构建 层 主要 是 网 络 基 础 设 
施 ,包括 互联 网 、 移 动 网 和 一 些 专业 网 (如 国家 电力 专用 网 和 广播 电视 网 ) 等 。 在 信息 传输 过 
程 中 ,可 能 经 过 一 个 或 多 个 不 同 架构 的 网 络 进 行 信息 交接 。 例 如 ,普通 电话 座机 与 手机 之 间 
的 通话 就 是 一 个 典型 的 跨 网 络 架 构 的 信息 传输 实例 。 在 信息 传输 过 程 中 跨 网 络 传输 是 很 正 
常 的 ,在 物 联网 环境 中 这 一 现象 更 突出 ,而 且 很 可 能 在 正常 而 普通 的 事件 中 产生 信息 安全 


1.5.1 网 络 构建 层 的 安全 需求 

网 络 环境 目前 遇 到 前 所 未 有 的 安全 挑战 ,而 物 联 网 网 络 构建 层 所 处 的 网 络 环境 也 存在 
安全 挑战 ,甚至 是 更 高 的 挑战 。 同 时 ,由 于 不 同 架 构 的 网 络 需要 相互 连通 ,因此 在 跨 网 络 架 
构 的 安全 认证 等 方面 会 面临 更 大 的 挑战 。 初 步 分 析 认 为 , 物 联 网 网 络 构建 层 将 主要 遇 到 下 
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列 安全 挑战 : 

(1) 拒绝 服务 (DOS) 攻 击 、 分 布 式 拒绝 服务 (DDOS) 攻 击 。 

(2) 假冒 攻击 和 中 间 人 攻击 等 。 

(3) 跨 异 构 网 络 的 网 络 攻击 。 

在 物 联网 发 展 过 程 中 ,目前 的 互联 网 或 者 下 一 代 互联 网 将 是 物 联网 网 络 构建 层 的 核心 
载体 ,多 数 信息 要 经 过 互联 网 传输 。 互 联网 遇 到 的 拒绝 服务 (DOS) 攻 击 和 分 布 式 拒绝 服务 
(DDOS) 攻 击 仍 然 存在 ,因此 需要 有 更 好 的 防范 措施 和 灾难 恢复 机 制 。 考 虑 到 物 联网 所 连接 
的 终端 设备 性 能 和 对 网 络 需 求 的 巨大 差异 ,对 网 络 攻击 的 防护 能 力也 会 有 很 大 差别 ,因此 很 
难 设 计 通 用 的 安全 方案 ,而 应 针对 不 同 网 络 性 能 和 网 络 需求 有 不 同 的 防范 措施 。 

在 网 络 构建 层 , 异 构 网 络 的 信息 交换 将 成 为 安全 性 的 脆弱 点 ,特别 在 网 络 认证 方面 , 难 
免 存 在 中 间 人 攻击 和 其 他 类 型 的 攻击 (如 异步 攻击 和 合谋 攻击 等 )。 这 些 攻击 都 需要 有 更 高 
的 安全 防护 措施 。 

如 果 仅 考虑 互联 网 和 移动 网 以 及 其 他 一 些 专用 网 络 , 则 物 联网 网 络 构建 层 对 安全 的 需 
求 可 以 概括 为 以 下 几 点 : 

(1) 数据 机 密 性 : 需要 保证 数据 在 传输 过 程 中 不 泄露 其 内 容 。 

(2) 数据 完整 性 : 需要 保证 数据 在 传输 过 程 中 不 被 非法 算 改 ,或 遭受 非法 算 改 的 数据 容 
易 被 检测 出 。 

(3) 数据 流 机 密 性 : 某 些 应 用 场景 需要 对 数据 流量 信息 进行 保密 ,目前 只 能 提供 有 限 的 
数据 流 机密 性 。 

(4) DDOS 攻击 的 检测 与 预防 : DDOS 攻击 是 网 络 中 最 常见 的 攻击 现象 ,在 物 联网 中 将 
会 更 突出 。 物 联网 中 需要 解决 的 问题 还 包括 如 何 对 脆弱 节点 的 DDOS 攻击 进行 防护 。 

(5) 移动 网 中 认证 与 密 钥 协商 (AKA) 机 制 的 一 致 性 或 兼容 性 、 跨 域 认 证 和 跨 网 络 认 证 
(基于 IMSI) : 不 同 无 线 网 络 所 使 用 的 不 同 AKA 机 制 对 跨 网 认证 带 来 不 利 。 这 一 问题 芹 待 
解决 。 


1.5.2 ”网络 构建 层 的 安全 机 制 


网 络 构建 层 的 安全 机 制 可 分 为 端 到 端 机 密 性 和 节点 到 节点 机 密 性 。 对 于 端 到 端 机 密 
性 ,需要 建立 如 下 安全 机 制 : 端 到 端 认 证 机 制 、 端 到 端 密 钥 协 商机 制 、 密 钥 管理 机 制 和 机 密 
性 算法 选取 机 制 等 。 

在 这 些 安全 机 制 中 ,根据 需要 可 以 增加 数据 完整 性 服务 。 对 于 节点 到 节点 机 密 性 ,需要 
节点 间 的 认证 和 密 钥 协商 协议 ,这 类 协议 要 重点 考虑 效率 因素 。 机 密 性 算法 的 选取 和 数据 
完整 性 服务 则 可 以 根据 需求 选取 或 省 略 。 考 虑 到 跨 网 络 架构 的 安全 需求 ,需要 建立 不 同 网 
络 环境 的 认证 衔接 机 制 。 

另外 ,根据 应 用 层 的 不 同 需求 ,网 络 传输 模式 可 能 区 分 为 单 播 通信 、 组 播 通信 和 广播 通 
信 ,针对 不 同类 型 的 通信 模式 也 应 该 有 相应 的 认证 机 制 和 机 密 性 保护 机 制 。 简 言 之 ,网 络 构 
建 层 的 安全 架构 主要 包括 如 下 几 个 方面 : 

(1) 节点 认证 ,数据 机 密 性 ,数据 完 整 性 \ 数 据 流 机 密 性 .DDOS 攻击 的 检测 与 预防 。 

(2) 移动 网 中 AKA 机 制 的 一 致 性 或 兼容 性 、 跨 域 认证 和 跨 网 络 认 证 (基于 IMSD) 。 

(3) 相应 的 密码 技术 ,包括 密 钥 管理 ( 密 钥 基础 设施 (PKI) 和 密 钥 协 商 ) 、 端 对 端 加 密 和 
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节点 对 节点 加 密 、 密 码 算法 和 协议 等 。 
(4) 组 播 和 广播 通信 的 认证 性 ,机 密 性 和 完整 性 安全 机 制 。 


1.6 管理 服务 层 的 安全 需求 和 安全 机 制 


管理 服务 层 是 信息 到 达 智 能 处 理 平台 的 处 理 过 程 , 包 括 如 何 从 网 络 中 接收 信息 。 在 从 
网 络 中 接收 信息 的 过 程 中 ,需要 判断 哪些 信息 是 真正 有 用 的 信息 ,哪些 是 垃圾 信息 甚至 是 恶 
意 信息 。 

在 来 自 网 络 的 信息 中 ,有 些 属于 一 般 性 数据 ,用 于 某 些 应 用 过 程 的 输入 ,而 有 些 可 能 是 
操作 指令 。 在 这 些 操 作 指 令 中 ,又 有 一 些 可 能 是 多 种 原因 造成 的 错误 指令 (如 指令 发 出 者 的 
操作 失误 、 网 络 传输 错误 、 受 到 恶意 修改 等 ) ,或 者 是 攻击 者 的 恶意 指令 。 

如 何 通过 密码 技术 等 手段 甄别 出 真正 有 用 的 信息 ,又 如 何 识 别 并 有 效 防范 恶意 信息 和 
指令 带 来 的 威胁 是 物 联网 管理 服务 层 的 重大 安全 挑战 。 


1.6.1 管理 服务 层 的 安全 需求 


物 联 网 管理 服务 层 的 重要 特征 是 智能 ,智能 的 技术 实现 少不了 自动 处 理 技术 ,其 目的 是 
使 处 理 过 程 方便 迅速 ,而 非 智能 的 处 理 手段 可 能 无 法 应 对 海量 数据 。 但 自动 过 程 对 恶意 数 
据 特 别 是 恶意 指令 信息 的 判断 能 力 是 有 限 的 ,而 智能 也 仅 限 于 按照 一 定 规则 进行 过 滤 和 判 
断 ,攻击 者 很 容易 避 开 这 些 规则 ,正如 垃圾 邮件 过 滤 一 样 ,这 么 多 年 来 一 直 是 一 个 棘手 的 问 
题 。 因 此 管理 服务 层 的 安全 挑战 包括 如 下 几 个 方面 : 

(1) 来 自 超 大 量 终 端的 海量 数据 的 识别 和 处 理 ; 

(2) 智能 变 为 低能 ; 

(3) 自动 变 为 失控 (可 控 性 是 信息 安全 的 重要 指标 之 一 ); 

(4) 灾难 控制 和 恢复 ; 

(5) 非法 人 为 干预 (内 部 攻击 ); 

(6) 设备 (特别 是 移动 设备 ) 的 丢失 。 

物 联 网 时 代 需 要 处 理 的 信息 是 海量 的 ,需要 处 理 的 平台 也 是 分 布 式 的 。 当 不 同性 质 的 
数据 通过 一 个 处 理 平台 处 理 时 ,该 平台 需要 多 个 功能 各 异 的 处 理 平台 协同 处 理 。 但 首先 应 
该 知道 将 哪些 数据 分 配 到 哪个 处 理 平台 ,因此 对 数据 进行 分 类 是 必须 的 。 同 时 ,安全 的 要 求 
使 得 许多 信息 都 是 以 加 密 形式 存在 的 ,因此 如 何 快速 有 效 地 处 理 海量 加 密 数 据 是 智能 处 理 
阶段 遇 到 的 一 个 重大 挑战 。 

计算 技术 的 智能 处 理 过 程 与 人 类 的 智力 相 比 还 是 有 本 质 的 区 别 , 但 计算 机 的 智能 判断 
在 速度 上 是 人 类 智力 判断 所 无 法 比拟 的 ,由 此 ,期 望 物 联 网 环境 的 智能 处 理 在 智能 水 平 上 不 
断 提高 ,而 且 不 能 用 人 的 智力 去 代替 。 也 就 是 说 ,只 要 智能 处 理 过 程 存 在 ,就 可 能 让 攻击 者 
有 机 会 躲 过 智能 处 理 过 程 的 识别 和 过 滤 ,从 而 达到 攻击 目的 。 在 这 种 情况 下 ,智能 与 低能 相 
当 。 因 此 , 物 联 网 的 网 络 构建 层 需要 高 智能 的 处 理 机 制 。 

如 果 智 能 水 平 很 高 ,就 可 以 有 效 识 别 并 自动 处 理 恶意 数据 和 指令 。 但 再 好 的 智能 也 存 
在 失误 的 情况 ,特别 在 物 联网 环境 中 .即使 失误 概率 非常 小 ,由 于 自动 处 理 过 程 的 数据 量 非 
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常 庞大 ,因此 失误 的 情况 还 是 很 多 。 在 处 理发 生 失 误 而 使 攻击 者 攻击 成 功 后 ,如 何 将 攻击 所 
造成 的 损失 降低 到 最 低 程度 ,并 尽快 从 灾难 中 恢复 到 正常 工作 状态 ,是 物 联 网 智能 管理 服务 
层 的 另 一 重要 问题 ,也 是 一 个 重大 挑战 ,因为 在 技术 上 没有 最 好 ,只 有 更 好 。 

智能 管理 服务 层 虽 然 使 用 智能 的 自动 处 理 手 段 ,但 还 是 允许 人 为 干预 ,而 且 是 必须 的 。 
人 为 干预 可 能 发 生 在 智能 处 理 过 程 无 法 做 出 正确 判断 的 时 候 , 也 可 能 发 生 在 智能 处 理 过 程 
有 关键 中 间 结 果 或 最 终结 果 的 时 候 ,还 可 能 发 生 在 其 他 任何 原因 而 需要 人 为 干预 的 时 候 。 
人 为 干预 的 目的 是 为 了 管理 服务 层 更 好 地 工作 ,但 也 有 例外 , 那 就 是 实施 人 为 干预 的 人 试图 
实施 恶意 行为 时 。 来 自 人 的 恶意 行为 具有 很 大 的 不 可 预测 性 ,防范 措施 除了 技术 辅助 手 
段 外 ,更 多 地 需要 依靠 管理 手段 。 因 此 , 物 联 网 管理 服务 层 的 信息 保障 还 需要 科学 管理 
手段 。 

智能 处 理 平台 的 大 小 不 同 , 大 的 可 以 是 高 性 能 工作 站 ,小 的 可 以 是 移动 设备 ,如 手机 等 。 
工作 站 的 威胁 是 内 部 人 员 恶 意 操作 ,而 移动 设备 的 一 个 重大 威胁 是 丢失 。 由 于 移动 设备 不 
仅 是 信息 处 理 平台 ,而 且 其 本 身 通常 携带 大 量 重要 机 密 信息 ,因此 ,如 何 降低 作为 处 理 平台 
的 移动 设备 丢失 所 造成 的 损失 是 重要 的 安全 挑战 之 一 。 


1.6.2 管理 服务 层 的 安全 机 制 


为 了 满足 物 联网 智能 管理 服务 层 的 基本 安全 需求 ,需要 如 下 的 安全 机 制 : 
(1) 可 靠 的 认证 机 制 和 密 钥 管理 方案 ; 

(2) 高 强度 数据 机 密 性 和 完整 性 服务 ; 

(3) 可 靠 的 密 钥 管理 机 制 , 包 括 PKI 和 对 称 密 钥 的 有 机 结合 机 制 ; 
(4) 可 靠 的 高 智能 处 理 手段 ， 

(5) 入 侵 检 测 和 病毒 检测 ; 

(6) 恶意 指令 分 析 和 预防 ,访问 控制 及 灾难 恢复 机 制 ; 

(7) 保密 日 志 跟 踪 和 行为 分 析 ,恶意 行为 模型 的 建立 ; 

(8) 密 文 查询 、 秘 密 数据 挖掘 .安全 多 方 计算 、 安 全 云 计 算 技 术 等 ; 
(9) 移动 设备 文件 (包括 秘密 文件 ) 的 可 备份 和 恢复 ; 

(10) 移动 设备 识别 、 定 位 和 追踪 机 制 。 


1.7 综合 应 用 层 的 安全 需求 和 安全 机 制 


综合 应 用 层 设计 的 是 综合 的 或 有 个 体 特性 的 具体 应 用 业务 , 它 所 涉及 的 某 些 安全 问题 
通过 前 面 几 个 逻辑 层 的 安全 解决 方案 可 能 仍然 无 法 解决 。 在 这 些 问 题 中 ,隐私 保护 就 是 典 
型 的 一 种 。 无 论 感知 识别 层 、 网 络 构 建 层 还 是 管理 服务 层 ,都 不 涉及 隐私 保护 的 问题 ,但 它 
却 是 一 些 特殊 应 用 场景 的 实际 需求 , 即 综合 应 用 层 的 特殊 安全 需求 。 物 联网 的 数据 共享 有 
多 种 情况 ,涉及 不 同 权 限 的 数据 访问 。 此 外 ,在 应 用 层 还 将 涉及 知识 产权 保护 、 计 算 机 取证 、 
计算 机 数据 销毁 等 安全 需求 和 相应 技术 。 
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1.7.1 综合 应 用 层 的 安全 需求 


综合 应 用 层 的 安全 挑战 和 安全 需求 主要 来 自 下 述 几 个 方面 : 

(1) 如 何 根据 不 同 访问 权限 对 同一 数据 库 内 容 进 行 筛选 。 

(2) 如 何 提供 用 户 隐私 信息 保护 ,同时 又 能 正确 认证 。 

(3) 如 何 解决 信息 泄露 追踪 问题 。 

(4) 如 何 进行 计算 机 取证 。 

(5) 如 何 销毁 计算 机 数据 。 

(6) 如 何 保护 电子 产品 和 软件 的 知识 产权 。 

由 于 物 联 网 需要 根据 不 同 应 用 需求 对 共享 数据 分 配 不 同 的 访问 权限 ,而 且 不 同 权 限 访 
问 同一 数据 可 能 得 到 不 同 的 结果 。 例 如 ,道路 交通 监控 视频 数据 在 用 于 城市 规划 时 只 需要 
很 低 的 分 辩 率 即 可 ,因为 城市 规划 需要 的 是 交通 堵塞 的 大 概 情况 ; 当 用 于 交通 管制 时 就 需要 
清晰 一 些 , 因 为 需要 知道 交通 实际 情况 ,以 便 能 及 时 发 现 哪里 发 生 了 交通 事故 ,以 及 交通 事 
故 的 基本 情况 等 ; 当 用 于 公安 侦查 时 可 能 需要 更 清晰 的 图 像 , 以 便 能 准确 识别 汽车 牌照 等 信 
息 。 因 此 如 何以 安全 方式 处 理 信息 是 应 用 中 的 一 项 挑战 。 

随 着 个 人 和 商业 信息 的 网 络 化 , 越 来 越 多 的 信息 被 认为 是 用 户 隐 私信 息 。 需 要 隐私 保 
护 的 应 用 至 少 包括 如 下 几 种 : 

(1) 移动 用 户 既 需 要 知道 (或 被 合法 知道 ) 其 位 置信 息 , 又 不 愿意 非法 用 户 获取 该 信息 。 

(2) 用 户 既 需要 证 明 自 己 合法 使 用 某 种 业务 ,又 不 想 让 他 人 知道 自己 在 使 用 某 种 业务 ， 
如 在 线 游戏 。 

(3) 在 对 病人 进行 急救 时 需要 及 时 获得 该 病人 的 电子 病历 信息 ,但 又 要 保护 该 病历 信 
息 不 被 非法 获取 ,包括 病历 数据 管理 员 。 事 实 上 ,电子 病历 数据 库 的 管理 人 员 可 能 有 机 会 获 
得 电子 病历 的 内 容 , 但 隐私 保护 采用 某 种 管理 和 技术 手段 使 病历 内 容 与 病人 身份 信息 在 电 
子 病 历数 据 库 中 无 关联 。 

(4) 许多 业务 需要 匿名 性 ,如 网 络 投票 。 很 多 情况 下 ,用 户 信 息 是 认证 过 程 的 必需 信 
息 , 如 何 对 这 些 信息 提供 隐私 保护 是 一 个 具有 挑战 性 的 问题 ,但 又 是 必须 要 解决 的 问题 。 例 
如 ,医疗 病历 的 管理 系统 需要 病人 的 相关 信息 来 获取 正确 的 病历 数据 ,但 又 要 避免 该 病历 数 
据 跟 病人 的 身份 信息 相关 联 。 在 应 用 过 程 中 ,主治 医生 知道 病人 的 病历 数据 ,这 种 情况 下 对 
隐私 信息 的 保护 具有 一 定 困难 性 ,但 可 以 通过 密码 技术 手段 掌握 医生 泄露 病人 病历 信息 的 
证 据 。 

在 使 用 互联 网 的 商业 活动 中 ,特别 是 在 物 联 网 环境 的 商业 活动 中 ,无 论 采 取 了 什么 技术 
措施 ,都 难免 恶意 行为 的 发 生 。 如 果 能 根据 恶意 行为 所 造成 后 果 的 严重 程度 给 予 相应 的 惩 
罚 ,那么 就 可 以 减少 恶意 行为 的 发 生 。 技 术 上 ,这 需要 搜集 相关 证 据 。 因 此 ,计算 机 取证 就 
显得 非常 重要 ,当然 这 有 一 定 的 技术 难度 ,主要 是 因为 计算 机 平台 种 类 太 多 ,包括 多 种 计算 
机 操作 系统 、 虚 拟 操作 系统 和 移动 设备 操作 系统 等 。 

与 计算 机 取证 相对 应 的 是 数据 销毁 。 数 据 销 毁 的 目的 是 销毁 那些 在 密码 算法 或 密码 协 
议 实施 过 程 中 所 产生 的 临时 中 间 变 量 , 一 旦 密码 算法 或 密码 协议 实施 完毕 ,这 些 中 间 变 量 将 
不 再 有 用 。 但 这 些 中 间 变 量 如 果 落 入 攻击 者 手 里 ,可 能 为 攻击 者 提供 重要 的 参数 ,从 而 增 大 
成 功 攻击 的 可 能 性 。 因 此 ,这 些 临时 中 间 变 量 需要 及 时 安全 地 从 计算 机 内 存 和 存储 单元 中 
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删除 。 计 算 机 数据 销毁 技术 不 可 避免 地 会 被 计算 机 犯罪 提供 证 据 销 毁 工 具 , 从 而 增 大 计算 
机 取证 的 难度 。 因 此 如 何 处 理 好 计算 机 取证 和 计算 机 数据 销毁 这 对 矛盾 是 一 项 具有 挑战 性 
的 技术 难题 ,也 是 物 联网 应 用 中 需要 解决 的 问题 。 

物 联 网 的 主要 市 场 将 是 商业 应 用 ,在 商业 应 用 中 存在 大 量 需要 保护 的 知识 产权 产品 , 包 
括 电 子 产 品 和 软件 等 。 在 物 联网 的 应 用 中 ,对 电子 产品 的 知识 产权 保护 将 会 提高 到 一 个 新 
的 高 度 , 对 应 的 技术 要 求 也 是 一 项 新 的 挑战 。 


1.7.2 综合 应 用 层 的 安全 机 制 


基于 物 联 网 综合 应 用 层 的 安全 挑战 和 安全 需求 ,需要 如 下 的 安全 机 制 : 

(1) 有 效 的 数据 库 访 问 控制 和 内 容 筛 选 机 制 ; 

(2) 不 同 场景 的 隐私 信息 保护 技术 ; 

(3) 叛 着 追踪 和 其 他 信息 泄露 追踪 机 制 ; 

(4) 有 效 的 计算 机 取证 技术 ; 

(5) 安全 的 计算 机 数据 销毁 技术 ; 

(6) 安全 的 电子 产品 和 软件 的 知识 产权 保护 技术 。 

针对 这 些 安 全 架构 ,需要 发 展 相关 的 密码 技术 ,包括 访问 控制 .匿名 签名 .匿名 认证 、 密 
文 验证 (包括 同 态 加 密 ) 门限 密 码 .叛逆 追踪 .数字 水 印 和 指纹 技术 等 。 


1.8 影响 信息 安全 的 非 技术 因素 和 存在 的 问题 


1.8.1 影响 信息 安全 的 非 技术 因素 


物 联 网 的 信息 安全 问题 将 不 仅仅 是 技术 问题 ,还 会 涉及 许多 非 技术 因素 。 下 述 几 方面 
的 因素 很 难 通 过 技术 手段 来 实现 : 

(1) 教育 : 让 用 户 意识 到 信息 安全 的 重要 性 和 如 何 正 确 使 用 物 联网 服务 以 减少 机 密 信 
息 的 泄露 机 会 。 

(2) 管理 : 严谨 的 科学 管理 方法 将 使 信息 安全 隐患 降低 到 最 小 ,特别 应 注意 信息 安全 
管理 。 

(3) 信息 安全 管理 : 找到 信息 系统 安全 方面 最 薄弱 环节 并 进行 加 强 , 以 提高 系统 的 整体 
安全 程度 ,包括 资源 管理 ,物理 安全 管理 和 人 力 安全 管理 等 。 

(4) 口令 管理 : 许多 系统 的 安全 隐患 来 自 账户 口令 的 管理 。 

因此 在 物 联网 的 设计 和 使 用 过 程 中 ,除了 需要 加 强 技术 手段 提高 信息 安全 的 保护 力度 
外 ,还 应 注重 对 信息 安全 有 影响 的 非 技 术 因 素 ,从 整体 上 降低 信息 被 非法 获取 和 使 用 的 
几率 。 


1.8.2 存在 的 问题 


物 联 网 的 发 展 , 特 别 是 物 联网 中 的 信息 安全 保护 技术 ,需要 学 术 界 和 企业 界 协同 合作 来 
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完成 。 许 多 学 术 界 的 理论 成 果 看 似 很 完美 ,但 可 能 不 很 实用 ,而 企业 界 设计 的 在 实际 应 用 中 
满足 一 些 约束 指标 的 方案 又 可 能 存在 可 怕 的 安全 漏洞 。 信 息 安 全 的 保护 方案 和 措施 需要 周 
密 考 虑 和 论证 后 才能 实施 ,设计 者 对 设计 的 信息 安全 保护 方案 不 能 抱 有 任何 侥幸 心理 ,而 实 
践 也 证 明 攻击 者 往往 比 设计 者 想象 得 更 聪明 。 

然而 ,现实 情况 是 学 术 界 与 企业 界 几乎 是 独立 的 两 种 发 展 模式 ,其 中 交叉 甚 少 ,甚至 双 
方 互相 鄂 视 : 学 术 界 认 为 企业 界 的 设计 没有 新 颖 性 ;而 企业 界 看 学 术 界 的 设计 是 乌托邦 ,很 
难 在 实际 系统 中 使 用 。 这 种 现象 的 根源 是 学 术 机 构 与 企业 界 的 合作 较 少 ,即使 有 合作 ,也 是 
目标 导向 很 强 的 短期 项 目 , 学 术 研 究 人 员 大 多 不 能 深入 理解 企业 需求 ,企业 的 研究 人 员 在 理 
论 深度 上 有 所 欠缺 ,而 在 信息 安全 系统 的 设计 中 则 需要 很 强 的 理论 基础 。 

再 者 ,信息 安全 常常 被 理解 为 政府 和 军事 等 重要 机 构 专 有 的 东西 。 随 着 信息 化 时 代 的 
发 展 , 特 别 是 电子 商务 平台 的 使 用 ,人 们 已 经 意识 到 信息 安全 更 大 的 应 用 在 商业 市 场 。 尽 管 
一 些 密码 技术 ,特别 是 密码 算法 的 选取 ,在 流程 上 受到 国家 有 关 政 策 的 管控 ,但 作为 信息 安 
全 技术 ,包括 密码 算法 技术 本 身 , 则 是 纯 学 术 的 东西 ,需要 公开 研究 才能 提升 密码 强度 和 信 
息 安全 的 保护 力度 。 


1.9 未 来 的 物 联 网 安全 与 隐私 技术 


物 联网 的 安全 和 隐私 保护 是 物 联网 服务 能 否 大 规模 应 用 的 关键 , 物 联网 的 多 源 异 构 性 
使 其 安全 面临 巨大 的 挑战 。 就 单一 网 络 而 言 互联网、 移动 通信 网 等 已 建立 了 一 系列 行 之 有 
效 的 机 制 和 方法 ,为 我 们 的 日 程 生活 和 工作 提供 了 丰富 的 信息 资源 ,改变 了 人 们 的 生活 和 工 
作 方 式 。 

物 联 网 需要 面 对 两 个 至 关 重 要 的 问题 , 那 就 是 个 人 隐私 与 商业 机 密 。 而 物 联 网 发 展 的 
广度 和 可 变性 ,从 某 种 意义 上 决定 了 有 些 时 候 它 只 具备 较 低 的 复杂 度 , 因 此 从 安全 和 隐私 的 
角度 来 看 ,未 来 的 物 联网 中 由 “物品 "所 构成 的 云 将 是 极其 难以 控制 的 。 

对 于 安全 性 相关 技术 ,我 们 将 有 很 多 工作 需要 完成 。 首 先 ,考虑 到 现存 的 很 多 加 密 技 
术 , 为 了 确保 物 联网 的 机 密 性 ,我 们 需要 在 加 密 算法 的 提速 和 能 耗 降低 上 下 工夫 。 此 外 ,为 
了 保障 物 联网 密码 技术 的 安全 与 可 靠 ,未 来 的 物 联网 的 任何 加 密 与 解密 系统 都 需要 获得 一 
个 或 几 个 统一 密 钥 分 配 机 制 的 支持 。 

对 于 那些 小 范围 的 系统 , 密 钥 的 分 配 可 能 是 在 生产 过 程 中 或 者 是 在 部 署 时 进行 的 。 但 
是 仅仅 对 于 这 种 情况 ,依托 临时 自 组 网 络 的 密 钥 分 配 系统 ,也 只 是 在 最 近 几 年 才 被 提出 。 所 
以 ,工作 难度 和 任务 量 可 想 而 知 。 

对 于 隐私 领域 来 说 ,情况 就 更 加 严峻 了 。 从 研究 和 关注 度 的 角度 来 看 ,隐私 性 和 隐私 技 
术 一 直 是 整个 技术 和 应 用 发 展 过 程 中 的 短 板 。 其 中 一 个 原因 当然 是 公众 对 于 隐私 的 漠视 。 
而 对 技术 人 员 来 说 ,最 大 的 缺憾 将 是 保护 隐私 的 各 种 技术 还 尚 没有 被 成 熟 的 研究 与 发 展 出 
来 : 首先 , 现 有 的 各 种 系统 并 不 是 针对 资源 受 限 访问 型 设备 而 设计 的 ;此 外 ,我 们 对 于 隐私 
的 整体 科学 认 知 也 仅仅 处 在 起 始 阶 段 (比如 ,对 于 一 个 人 整个 生命 过 程 中 的 隐私 的 相关 认 知 
观点 )。 

从 技术 上 , 物 联 网 物品 的 多 样 性 和 可 变性 将 会 增加 工作 的 难度 与 复杂 度 。 而 且 仅 从 法 
律 的 角度 上 看 ,有 些 事情 也 还 没有 完全 得 到 合理 的 解释 。 就 像 隐 私法 规 的 合理 范围 以 及 物 
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品 在 物品 协作 云 中 的 数据 所 有 权 等 问题 就 将 在 相当 长 的 时 间 内 困扰 着 我 们 大 家 。 

对 安全 与 隐私 技术 领域 来 说 ,从 现在 的 研究 来 看 ,我 们 可 以 相信 网 络 和 数据 的 匿名 技术 
将 为 物 联网 的 隐私 提供 某 种 程度 的 基础 。 但 是 ,目前 ,由 于 考虑 到 计算 能 力 和 网 络 带宽 的 要 
求 ,这 些 技术 只 有 那些 功能 强大 的 设备 才能 够 支持 。 所 以 我 们 还 要 努力 ,不 光 是 更 加 深入 地 
研究 网 络 与 数据 的 匿名 技术 ,同时 要 考虑 将 同样 的 观点 引入 到 设备 授权 使 用 和 信任 机 制 建 


立 上 来 ,以 促进 整个 物 联网 安全 以 及 隐私 技术 领域 的 发 展 。 
本 领域 中 一 些 需要 解决 的 问题 和 主要 研究 内 容 包 括 : 


(1) 基于 事件 驱动 的 代理 机 制 的 建立 ,从 而 帮助 各 种 联网 设备 和 物品 实现 智能 的 自主 


觉醒 和 自我 认 知 能 力 ; 


(2) 对 于 各 种 各 样 不 同 设备 所 组 成 的 集合 的 隐私 保护 技术 ; 


(3) 分 散 型 认证 ,授权 和 信任 的 模型 化 方法 ; 
(4) 高 效能 的 加 密 与 数据 保护 技术 ; 

(5) 物品 (对 象 ) 和 网 络 的 认证 与 授权 访问 技术 ; 
(6) 匿名 访问 机 制 ; 

(7) 云 计算 的 安全 与 信任 机 制 ; 

(8) 数据 所 有 权 技 术 。 


习题 一 


22 


oo 中 mo 王 


可， 本 
一 oo 


. 物 联网 安全 涉及 的 范围 有 哪些 ? 

. 简 述 物 联网 的 安全 特征 。 

. 物 联 网 从 功能 上 来 说 具备 哪 几 个 特征 ? 

. 按照 科学 及 严谨 的 表述 , 物 联网 结构 应 分 成 哪 几 层 ? 
.概要 说 明 物 联网 安全 的 逻辑 层次 。 

. 物 联网 面 对 的 特殊 安全 问题 有 哪些 ? 

. 简 述 物 联网 中 的 业务 认证 机 制 。 

. 物 联 网 中 的 加 密 机 制 是 什么 ? 

.概要 说 明 物 联 网 安全 技术 分 类 。 

.感知 识别 层 可 能 遇 到 的 安全 挑战 包括 哪 几 种 情况 ? 
. 物 联 网 网 络 构建 层 将 会 遇 到 哪些 安全 挑战 ? 
.简要 说 明 管 理 服务 层 的 安全 机 制 。 

. 综合 应 用 层 的 安全 挑战 和 安全 需求 主要 来 自 哪 几 个 方面 ? 
. 影响 信息 安全 的 非 技术 因素 和 存在 的 问题 有 哪些 ? 
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2.1 常用 信息 安全 技术 简介 


目前 ,经 常 涉及 的 信息 安全 技术 主要 有 数据 加 密 、 身 份 认证 ,访问 控制 和 口令 、 数 字 证 
书 、 电 子 签证 机 关 (CA) 和 数字 签名 等 常用 信息 安全 技术 。 为 便于 进一步 学 习 , 先 在 本 节 进 
行 概念 性 解释 。 


2.1.1 数据 加 密 与 身份 认证 


1. 数据 加 密 


数据 加 密 是 计算 机 系统 对 信息 进行 保护 的 一 种 最 可 靠 的 办 法 。 它 利用 密码 技术 对 信息 
进行 交换 ,实现 信息 隐蔽 ,从 而 保护 信息 的 安全 。 

考虑 到 用 户 可 能 试图 旁 路 系统 的 情况 ,如 物理 地 取 走 数据 库 , 在 通信 线路 上 窃听。 对 这 
样 的 威胁 最 有 效 的 解决 方法 就 是 数据 加 密 , 即 以 加 密 格式 存储 和 传输 敏感 数据 。 


2. 身份 验证 


身份 验证 是 指 通 过 一 定 的 手段 完成 对 用 户 身 份 的 确认 。 身 份 验证 的 目的 是 确认 当前 声 
称 为 某 种 身份 的 用 户 确实 是 所 声称 的 用 户 。 身 份 验 证 的 方法 有 很 多 ,基本 上 可 分 为 基于 共 
享 密 钥 的 身份 验证 .基于 生物 学 特征 的 身份 验证 和 基于 公开 密 钥 加 密 算法 的 身份 验证 。 不 
同 的 身份 验证 方法 ,其 安全 性 也 各 有 高 低 。 


2.1.2 访问 控制 和 口令 


1. 访问 控制 


按 用 户 身份 及 其 所 归属 的 某 预 设 的 定义 组 限制 用 户 对 某 些 信 息 项 的 访问 ,或 限制 对 某 
些 控制 功能 的 使 用 。 访 问 控制 通常 用 于 系统 管理 员 控制 用 户 对 服务 器 .目录 和 文件 等 网 络 
资源 的 访问 。 

2. 访问 控制 的 类 型 

(1) 自主 访问 控制 : 是 指 用 户 有 权 对 自己 所 创建 的 访问 对 象 (文件 .数据 表 等 ) 进 行 访 
问 ,并 可 将 对 这 些 对 象 的 访问 权 授 予 其 他 用 户 和 从 授予 权限 的 用 户 收回 其 访问 权限 。 


(2) 强制 访问 控制 : 是 指 由 系统 (通过 专门 设置 的 系统 安全 员 ) 对 用 户 所 创建 的 对 象 进 
行 统一 的 强制 性 控制 ,按照 规定 的 规则 决定 哪些 用 户 可 以 对 哪些 对 象 进行 什么 操作 系统 类 
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型 的 访问 ,即使 是 创建 者 用 户 ,在 创建 一 个 对 象 后 ,也 可 能 无 权 访 问 该 对 象 。 
3. 口令 


通过 用 户 ID 和 口令 进行 认证 是 操作 系统 或 应 用 程序 通常 采用 的 。 如 果 非 法 用 户 获 得 
合法 用 户 身 份 的 口令 ,他 就 可 以 自由 访问 未 授权 的 系统 资源 ,所 以 需要 防止 口令 泄露 。 易 被 
猜 中 的 口令 或 默认 口令 也 是 一 个 很 严重 的 问题 ,但 一 个 更 严重 的 问题 是 有 的 账号 根本 没有 
口令 。 实 际 上 ,所 有 使 用 弱 口 令 、 默 认 口 令 和 没有 口令 的 账号 都 应 从 系统 中 清除 。 

目前 各 类 计算 资源 主要 靠 固定 口令 的 方式 来 保护 ,对 口令 的 攻击 包括 以 下 几 种 : 

(1) 网 络 数据 流 窃听 (sniffer) : 攻击 者 窃听 网 络 数据 ,如 果 口 令 使 用 明文 传输 , 则 可 被 
非法 截获 ,如 图 2. 1 所 示 。 


个 [el Login: UserA Password: 12345 a 
ee 一 


Pe 


图 21 窃听 


(2) 认证 信息 截取 / 重 放 (record/replay): 有 的 系统 会 将 认证 信息 进行 简单 加 密 后 进行 
传输 ,如 果 攻 击 者 无 法 用 第 一 种 方式 推算 出 密码 ,可 以 使 用 截取 / 重 放 方式 ,如 图 2. 2 所 示 ， 
需要 的 是 重新 编写 客户 端 软 件 以 使 用 加 密 口令 实现 系统 登录 。 


认证 信息 己 
名 复制 认证 信息 
然后 重 放 


图 22 截取 硬 放 


(3) 字典 攻击 : 根据 调查 结果 可 知 , 大 部 分 的 人 为 了 方便 记忆 ,选用 的 密码 都 与 自己 周 
遭 的 事物 有 关 , 如 身份 证 号 、 生 日 、 车 牌号 码 、 在 办 公 桌 上 可 以 马上 看 到 的 标记 或 事物 、 其 他 
有 意义 的 单词 或 数字 , 某 些 攻 击 者 会 使 用 字典 中 的 单词 来 尝试 用 户 的 密码 。 所 以 大 多 数 系 
统 建议 用 户 在 口令 中 加 入 特殊 字符 ,以 增加 口令 的 安全 性 。 
(4) 穷 举 攻击 (brute force) : 也 称 蛮 力 破解 。 这 是 一 种 特殊 的 字典 攻击 , 它 使 用 字符 串 
的 全 集 作为 字典 。 如 果 用 户 的 密码 较 短 ,就 很 容易 被 穷 举 出 来 ,因而 很 多 系统 都 建议 用 户 使 
用 长 口令 。 
(5) 窥探 : 攻击 者 利用 与 被 攻击 系统 接近 的 机 会 ,安装 监视 器 或 亲自 窥探 合法 用 户 输入 
口令 的 过 程 , 以 得 到 口令 。 
(6) 社交 工程 : 社会 工程 就 是 指 采用 非 隐 项 方法 盗用 口令 等 ,比如 ,冒充 是 领导 骗取 管 
理 员 信任 得 到 口令 ,冒充 合法 用 户 发 送 邮 件 或 打 电 话 给 管理 人 员 以 骗取 用 户口 令 等 。 
(7) 垃圾 搜索 : 攻击 者 通过 搜索 被 攻击 者 的 废弃 物 .得 到 与 攻击 系统 有 关 的 信息 ,如 果 
户 将 口令 写 在 纸 上 又 随便 丢弃 , 则 很 容易 成 为 垃圾 搜索 的 攻击 对 象 。 
为 防止 攻击 者 猜 中 口令 ,安全 口令 应 具有 以 下 特点 : 
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(1) 位 数 大 于 6 位 。 

(2) 大 小 写字 母 混合 。 如 果 用 一 个 大 写字 母 , 既 不 要 放 在 开头 ,也 不 要 放 在 结尾 。 
(3) 可 以 把 数字 无 序 地 加 在 字母 中 。 

(4) 系统 用 户 一 定 用 8 位 口令 ,而 且 包括 一 ! @ 井 $ %^& < 去 过?: "{} 等 特殊 符号 。 


2.1.3 数据 加 密 算 法 


1. 背景 简介 


直到 近代 ,密码 学 几乎 专 指 加 密 算法 ,即将 普通 信息 (明文 ) 转 换 成 难以 理解 的 资料 ( 密 
文 ) 的 过 程 ; 解 密 算法 则 是 其 相反 的 过 程 , 即 由 密 文 转换 回 明文 。 

密码 机 (cipher) 包 含 了 这 两 种 算法 ,一 般 加 密 即 同时 指 加 密 与 解密 的 技术 。 密 码 机 的 具 
体 运作 由 两 部 分 决定 : 一 个 是 算法 , 另 一 个 是 钥匙 。 钥 是 是 一 个 用 于 密码 机 算法 的 秘密 参 
数 , 通 常 只 有 通信 者 拥有 。 


2. 密 钥 的 定义 


密 钥 是 一 种 参数 , 它 是 在 明文 转换 为 密 文 或 将 密 文 转换 为 明文 的 算法 中 输入 的 数据 。 

密 钥 一 词 是 现代 词 , 从 字面 上 可 以 读 作 [mi yao], 也 可 以 读 作 [mi yue] ,但 现在 人 们 普遍 
把 密 钥 读 作 [mi yao]。 

密 钥 的 英文 为 key, 中 文 意思 偏向 于 钥匙 。 在 密码 学 中 ,特别 是 公 钥 密码 体系 中 , 密 钥 的 
形象 描述 往往 是 房屋 或 者 保险 箱 的 钥匙 。 


3. 密 钥 密码 体系 的 分 类 


密 钥 技术 提供 的 加 密 服 务 可 以 保证 在 开放 式 环境 中 网 络 传输 的 安全 。 通 常 大 量 使 用 的 
两 种 密 钥 加 密 技 术 是 私 用 密 钥 ( 对 称 加 密 ) 和 公共 密 钥 ( 非 对 称 加 密 ) 。 

1) 对 称 密 钥 加 密 系统 

对 称 密 钥 加 密 , 又 称 私 钥 加 密 或 会 话 密 钥 加 密 算法 , 即 信息 的 发 送 方 和 接收 方 用 同一 个 
密 钥 去 加 密 和 解密 数据 。 它 的 最 大 优势 是 加 /解密 速度 快 . 适 合 于 对 大 量 数据 进行 加 密 , 但 
密 钥 管理 困难 。 

2) 非 对 称 密 钥 加 密 系统 

非 对 称 密 钥 加 密 系统 ,又 称 公 钥 密 钥 加 密 , 它 需要 使 用 不 同 的 密 钥 来 分 别 完成 加 密 和 人 解 
密 操作 ,一 个 公开 发 布 , 即 公开 密 钥 , 另 一 个 由 用 户 自己 秘密 保存 , 即 私 用 密 钥 。 信 息 发 送 者 
公开 密 钥 去 加 密 , 而 信息 接收 者 则 用 私 用 密 钥 去 解密 。 公 钥 机 制 灵活 ,但 加 密 和 解密 速度 
却 比 对 称 密 钥 加 密 慢 得 多 。 

因此 ,在 实际 的 应 用 中 ,人 们 通常 将 两 者 结合 在 一 起 使 用 ,例如 ,对 称 密 钥 加 密 系统 用 于 
存储 大 量 数据 信息 ,而 公开 密 钥 加 密 系统 则 用 于 加 密 密 钥 。 


4. 私 钥 加 密 (对 称 密 钥 ) 


私 钥 加 密 又 称 为 秘密 密 钥 (secret key) 技 术 , 是 指 发 送 方 和 接收 方 依靠 事先 约定 的 密 钥 
对 明文 进行 加 密 和 解密 的 算法 , 它 的 加 密 密 钥 和 解密 密 钥 相同 ,只 有 发 送 方 和 接收 方才 知道 
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这 一 密 钥 。 它 的 最 大 优势 是 加 /解密 速度 快 , 适 合 于 对 大 量 数 据 进行 加 密 , 但 密 钥 管理 困难 。 
通常 使 用 如 图 2. 3 所 示 的 数据 加 密 模 型 描述 数据 加 密 的 过 程 。 


着 呆 “4 截取 者 由 wy $ weewr ， 
| | 


运算 密 文 了 


D 运 算 | 
解密 算法 


图 23 私 钥 加 密 


5. 公 钥 加 密 ( 非 对 称 密 钥 ) 


公开 密 钥 密码 体制 最 主要 的 特点 就 是 加 密 和 解密 使 用 不 同 的 密 钥 ,每 个 用 户 保存 着 一 
对 密 钥 : 公开 密 钥 PK 和 私有 密 钥 SK, 因 此 ,这 种 体制 又 称 为 双 钥 或 非 对 称 密 钥 密码 体制 。 

这 种 数字 签名 方法 必须 同时 使 用 收 、 发 双方 的 解密 密 钥 和 公开 密 钥 才能 获得 原文 ,也 能 
够 完成 发 送 方 的 身份 认证 和 接收 方 无 法 伪造 报 文 的 功能 。 公 钥 加 密 的 模型 如 图 2.4 所 示 。 


A 的 私 钥 SKA A 的 公 钥 PKA 
号 由 Wx | 一 
-TD 坟 3 本 文 。 

Dsx (OX) Ds .0) 明文 X 


图 24 公 钥 加 密 


6. 数据 加 密 算法 应 用 


对 于 普通 的 对 称 密码 学 ,加 密 运算 与 解密 运算 使 用 同样 的 密 钥 。 通 常 , 使 用 的 对 称 加 密 
算法 更 简便 ,高 效 , 密 钥 简 短 ,破译 极其 困难 ,由 于 系统 的 保密 性 主要 取决 于 密 钥 的 安全 性， 
所 以 ,在 公开 的 计算 机 网 络 上 安全 地 传送 和 保管 密 钥 是 一 个 严峻 的 问题 。 正 是 由 于 对 称 密 
码 学 中 双方 都 使 用 相同 的 密 钥 ,因此 无 法 实现 数据 签名 和 不 可 否认 性 等 功能 。 

20 世纪 70 年 代 以 来 ,一 些 学 者 提出 了 公开 密 钥 体制 , 即 运 用 单 向 函数 的 数学 原理 ,以 实 
现 加 、 解 密 密 钥 的 分 离 。 加 密 密 钥 是 公开 的 ,解密 密 钥 是 保密 的 。 这 种 新 的 密码 体制 引起 了 
密码 学 界 的 广泛 注意 和 探讨 。 

与 普通 的 对 称 密码 学 中 采用 相同 的 密 钥 加 密 和 解密 数据 不 同 , 非 对 称 密 钥 加 密 技术 采 
用 一 对 匹配 的 密 钥 进行 加 密 和 解密 ,具有 两 个 密 钥 ,一 个 是 公 钥 ,一 个 是 私 钥 , 它 们 具有 这 种 
人 性质: 每 个 密 钥 执行 一 种 对 数据 的 单 向 处 理 , 两 个 密 钥 的 功能 恰恰 相反 ,一 个 用 于 加 密 时 ， 
则 另 一 个 就 用 于 解密 。 

公 钥 加 密 的 文件 只 能 用 私 钥 解 密 , 而 用 私 钥 加 密 的 文件 只 能 用 公 钥 解密 。 公 钥 是 由 
其 主人 加 以 公开 的 ,而 私 钥 必须 保密 存放 。 

为 发 送 一 份 保密 报 文 ,发 送 者 必须 使 用 接收 者 的 公 钥 对 数据 进行 加 密 , 一 旦 加 密 , 只 有 

接收 方 用 其 私 钥 才能 加 以 解密 。 相 反 地 ,用 户 也 能 用 自己 的 私 钥 对 数据 加 以 处 理 。 换 句 话 
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说 ,两 个 密 钥 的 工作 是 很 灵活 的 。 

这 提供 了 数字 签名 的 基础 ,如 果 一 个 用 户 用 自己 的 私 钥 对 数据 进行 了 处 理 , 别 人 可 以 用 
他 提供 的 公 钥 对 数据 加 以 处 理 。 由 于 仅仅 拥有 者 本 人 知道 私 钥 ,这 种 被 处 理 过 的 报 文 就 形 
成 了 一 种 电子 签名 一 一 一 种 别人 无 法 产生 的 文件 。 数 字 证 书 中 包含 了 公 钥 信息 ,从 而 确认 
了 拥有 密 钥 对 的 用 户 的 身份 。 

简单 的 公 钥 例子 可 以 用 素数 表示 ,将 素数 相 乘 的 算法 作为 公 钥 ,将 所 得 的 乘积 分 解 成 原 
来 的 素数 的 算法 就 是 私 钥 ,加 密 就 是 将 想 要 传递 的 信息 在 编码 时 加 入 素数 ,编码 之 后 传送 给 
收 信人 ,任何 人 收 到 此 信息 后 , 若 没有 此 收 信人 所 拥有 的 私 钥 , 则 解密 的 过 程 中 ( 实 为 寻找 素 
数 的 过 程 ) 将 会 因为 找 素数 的 过 程 ( 分 解 质 因数 ) 过 久 而 无 法 解读 信息 。 


2.1.4 数字 证 书 和 电子 签证 机 关 


1. 证 书 


数字 证 书 (digital ID) 又 称 为 数字 凭证 ,是 用 电子 手段 来 证 实 一 个 用 户 的 身份 和 对 网 络 
资源 的 访问 权限 。 

互联 网 络 的 用 户 群 决 不 是 几 个 人 互相 信任 的 小 集体 ,在 这 个 用 户 群 中 ,从 法 律 角度 讲 用 
户 彼 此 之 间 都 不 能 轻易 信任 。 所 以 公 钥 加 密 体 系 采取 了 另 一 个 办 法 ,将 公 钥 和 公 钥 的 主人 
名 字 联 系 在 一 起 ,再 请 一 个 大 家 都 信得过 的 有 信誉 的 公正 、 权 威 机 构 确 认 , 并 加 上 这 个 权威 
机 构 的 签名 ,这 就 形成 了 证 书 。 

数字 证 书 就 是 一 个 数字 文件 ,通常 由 4 个 部 分 组 成 : 第 一 是 证 书 持 有 人 的 姓名 和 地 址 
等 关键 信息 ;第 二 是 证 书 持 有 人 的 公开 密 钥 ;第 三 是 证 书 序号 和 证 书 的 有 效 期 限 ;第 四 是 发 
证 单位 的 数字 签名 。 

由 于 证 书 上 有 权威 机 构 的 签字 ,所 以 大 家 都 认为 证 书 上 的 内 容 是 可 信任 的 ;又 由 于 证 书 
上 有 主人 的 名 字 等 身份 信息 ,别人 就 很 容易 地 知道 公 钥 的 主人 是 谁 。 


2. 电子 签证 机 关 


所 谓 电 子 签 证 机 关 (Certificate Authority,CA) ,是 采用 PKI(Public Key Infrastructure， 
公开 密 钥 体系 ) 公 开 密 钥 技 术 ,专门 提供 网 络 身份 认证 服务 ,负责 签发 和 管理 数字 证 书 , 且 有 具 
有 权威 性 和 公正 性 的 第 三 方 信任 机 构 , 它 的 作用 就 像 颁 发 证 件 的 部 门 , 如 护照 办 理 机 构 。 

电子 签证 机 关 也 拥有 一 个 证 书 ( 内 含 公 钥 ) ,当然 , 它 也 有 自己 的 私 钥 ,所 以 它 有 签字 的 
能 力 。 网 上 的 公众 用 户 通过 验证 CA 的 签字 从 而 信任 CA, 任 何人 都 应 该 可 以 得 到 CA 的 证 
书 ( 含 公 钥 ) ,用 以 验证 它 所 签发 的 证 书 。 

如 果 用 户 想得到 一 份 属 于 自己 的 证 书 , 应 先 向 CA 提出 申请 。 在 CA 判明 申请 者 的 身 
份 后 , 便 为 他 分 配 一 个 公 钥 ,并且 CA 将 该 公 钥 与 申请 者 的 身份 信息 绑 在 一 起 ,并 为 之 签字 
后 , 便 形 成 证 书 发 给 那个 用 户 ( 申 请 者 ) 。 

如 果 一 个 用 户 想 鉴别 另 一 个 证 书 的 真 伪 , 他 就 用 CA 的 公 钥 对 那个 证 书 上 的 签字 进行 
验证 (如 前 所 述 ,CA 签字 实际 上 是 经 过 CA 私 钥 加 密 的 信息 ,签字 验证 的 过 程 还 伴随 使 用 
CA 公 钥 解密 的 过 程 ) ,一 旦 验证 通过 ,该 证 书 就 被 认为 是 有 效 的 。 

电子 签证 机 关 除 了 签发 证 书 之 外 , 它 的 另 一 个 重要 作用 是 证 书 和 密 钥 的 管理 。 
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2.1.5 数字 签名 


数字 签名 是 指 通过 一 个 单 向 函数 对 传送 的 报 文 进行 处 理 得 到 的 ,是 一 个 用 以 认证 报 文 
来 源 并 核实 报 文 是 否 发 生变 化 的 一 个 字母 数字 串 。 数 字 签 名 的 作用 就 是 了 为 了 鉴别 文件 或 
书信 和 真 伪 , 签 名 起 到 认证 .生效 的 作用 。 

数字 签名 主要 的 功能 是 保证 信息 传输 的 完整 性 发 送 者 的 身份 认证 、 防 止 交 易 中 的 抵赖 
发 生 。 

1. 数字 签名 技术 


数字 签名 (digital signature) 技 术 是 不 对 称 加 密 算 法 的 典型 应 用 。 数 字 签 名 的 应 用 过 程 
是 ,数据 发 送 方 使 用 自己 的 私 钥 对 数据 校 验 和 或 其 他 与 数据 内 容 有 关 的 变量 进行 加 密 处 理 ， 
完成 对 数据 的 合法 签名 ,数据 接收 方 则 利用 对 方 的 公 钥 来 解读 收 到 的 数字 签名 ,并 将 解读 结 
果 用 于 对 数据 完整 性 的 检验 ,以 确认 签名 的 合法 性 。 

数字 签名 技术 是 将 摘要 信息 用 发 送 者 的 私 钥 加 密 , 与 原文 一 起 传送 给 接收 者 。 接 收 者 
只 有 用 发 送 的 公 钥 才能 解密 被 加 密 的 摘要 信息 ,然后 用 hash 函数 对 收 到 的 原文 产生 一 个 摘 
要 信息 ,与 解密 的 摘要 信息 对 比 , 如 果 相 同 , 则 说 明 收 到 的 信息 是 完整 的 ,在 传输 过 程 中 没有 
被 修改 ,否则 说 明 信 息 被 修改 过 ,因此 数字 签名 能 够 验证 信息 的 完整 性 ,如 图 2.5 所 示 。 数 
字 签 名 是 一 个 加 密 的 过 程 ,数字 签名 验证 是 一 个 解密 的 过 程 。 


A 的 私 钥 SKA ” B 的 公 钥 PKs B 的 私 钥 SKe ”A 的 公 钥 PKA 


-1 


[| D 运 算 | ~| E 运 算 | - ~| D 运 算 | | FE 运算 | 一 


Dsk (X) Epc (DER OO) Dsx(X) 
一 一 加 密 与 解密 - 一 
签名 与 核实 签名 


图 25 具有 保密 性 的 数字 签名 


2. 数字 签名 的 使 用 


使 用 数字 签名 一 般 基于 以 下 原因 : 

1) 鉴 权 

公 钥 加 密 系统 允许 任何 人 在 发 送信 息 时 使 用 公 钥 进行 加 密 , 数 字 签 名 能 够 让 信息 接收 
者 确认 发 送 者 的 身份 。 鉴 权 的 重要 性 在 财务 数据 上 表现 得 尤为 突出 。 

2) 完整 性 

传输 数据 的 双方 都 总 希望 确认 消息 未 在 传输 的 过 程 中 被 修改 。 加 密使 得 第 三 方 想 要 读 
取 数 据 十 分 困难 ,然而 第 三 方 仍然 能 采取 可 行 的 方法 在 传输 的 过 程 中 修改 数据 。 

3) 不 可 抵赖 

在 密 文 背 景 下 ,抵赖 这 个 词 指 的 是 不 承认 与 消息 有 关 的 举动 ( 即 声称 消息 来 自 第 三 方 ) 。 
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消息 的 接收 方 可 以 通过 数字 签名 来 防止 所 有 后 续 的 抵赖 行为 ,因为 接收 方 可 以 出 示 签 名 给 
别人 看 来 证 明 信 息 的 来 源 。 

4) 实现 

数字 签名 算法 依靠 公 钥 加 密 技术 来 实现 。 在 公 钥 加 密 技术 里 ,每 一 个 使 用 者 有 一 对 密 
钥 : 一 把 公 钥 和 一 把 私 钥 。 公 和 钥 可 以 自由 发 布 , 私 钥 则 秘密 保存 ;还 有 一 个 要 求 就 是 要 让 通 
过 公 钥 推算 出 私 钥 的 做 法 不 可 能 实现 。 


2.2 物 联 网 安全 技术 架构 


作为 一 种 多 网 络 融 合 的 网 络 , 物 联网 安全 涉及 各 个 网 络 的 不 同 层次 ,在 这 些 独 立 的 网 络 
中 已 实际 应 用 了 多 种 安全 技术 ,特别 是 移动 通信 网 和 互联 网 的 安全 研究 已 经 历 了 较 长 的 时 
间 ,但 对 物 联网 中 的 感知 网 络 来 说 ,由 于 资源 的 局 限 性 ,使 安全 研究 的 难度 较 大 。 本 节 主 要 
针对 物 联网 中 的 安全 技术 问题 进行 讨论 。 


2.2.1 物 联 网 加 密 认证 


物 联网 的 安全 和 隐私 保护 是 物 联网 服务 能 否 大 规模 应 用 的 关键 , 物 联网 的 多 源 异 构 性 
使 其 安全 面临 巨大 的 挑战 ,就 单一 网 络 而 言 ,互联 网、 移动 通信 网 等 已 建立 了 一 系列 行 之 有 
效 的 机 制 和 方法 ,为 日 程 生活 和 工作 提供 了 丰富 的 信息 资源 ,改变 了 人 们 的 生活 和 工作 
方式 。 

相对 而 言 , 物 联 网 的 安全 研究 仍 处 于 初始 阶段 ,还 没有 提供 一 个 完整 的 解决 方案 ,由 于 
物 联网 的 资源 局 限 性 ,使 其 安全 问题 的 研究 难度 增 大 ,因此 ,安全 研究 将 是 物 联网 的 重要 组 
成 部 分 。 同 时 ,如 何 建立 有 效 的 多 网 融合 的 安全 架构 ,建立 一 个 跨越 多 网 的 统一 安全 模型 ， 
形成 有 效 的 共同 协调 防御 系统 也 是 重要 的 研究 方向 之 一 。 

目前 在 物 联网 网 络 安全 方面 ,人 们 就 密 钥 管理 ,安全 路 由 、 认 证 与 访问 控制 ,数据 隐私 保 
护 、 入 侵 检 测 与 容错 容 侵 以 及 安全 决策 与 控制 等 方面 进行 了 相关 研究 , 密 钥 管 理 作为 多 个 安 
全 机 制 的 基础 一 直 是 研究 的 热点 ,但 并 没有 找到 理想 的 解决 方案 ,要 么 寻求 更 轻 量 级 的 加 密 
算法 ,要 么 提高 传感器 节点 的 性 能 ,目前 的 方法 距离 实际 应 用 还 有 一 定 的 距离 ,特别 是 至 今 
真正 的 大 规模 的 物 联 网 网 络 的 实际 应 用 仍然 太 少 ,多 跳 自 组 织 网 络 环境 下 的 大 规模 数据 处 
理 ( 如 路 由 和 数据 融合 ) 使 很 多 理论 上 的 小 规模 仿真 失去 意义 ,而 在 这 种 环境 下 的 安全 问题 
才 是 物 联网 安全 的 难点 所 在 。 

由 于 物 联网 必须 兼容 和 继承 现 有 的 TCP/IP 网 络 和 无 线 移 动 网 络 等 ,因此 现 有 网 络 安 
全 体系 中 的 大 部 分 机 制 仍然 可 以 适用 于 物 联网 ,并 能 够 提供 一 定 的 安全 性 ,如 认证 机 制 和 加 
密 机 制 等 。 但 是 还 需要 根据 物 联网 的 特征 对 安全 机 制 进行 调整 和 补充 。 

可 以 认为 , 物 联网 的 安全 问题 同样 也 要 走 “ 分 而 治之 ”、 分 层 解决 的 路 子 。 传 统 TCP/IP 
网 络 针对 网 络 中 的 不 同 层 都 有 相应 的 安全 措施 和 对 应 方法 ,这 套 比 较 完整 的 方法 不 能 原样 
照搬 到 物 联网 领域 ,而 要 根据 物 联网 的 体系 结构 和 特殊 性 进行 调整 。 物 联网 感知 识别 层 与 
主干 网 络 接口 以 下 的 部 分 的 安全 防御 技术 主要 依赖 于 传统 的 信息 安全 的 知识 。 
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1. 物 联 网 中 的 加 密 机 制 


密码 学 是 保障 信息 安全 的 基础 。 在 传统 IP 网络 中 加 密 的 应 用 通常 有 两 种 形式 : 点 到 点 
加 密 和 端 到 端 加 密 。 从 目前 学 术 界 所 公认 的 物 联 网 基础 架构 来 看 ,不 论 是 点 到 点 加 密 还 是 
端 到 端 加 密 , 实 现 起 来 都 有 困难 ,因为 在 感知 层 的 节点 上 要 运行 一 个 加 密 /解密 程序 不 仅 需 
要 存储 开销 和 高 速 的 CPU, 而 且 要 消耗 节点 的 能 量 。 因 此 ,在 物 联网 中 实现 加 密 机 制 原则 
上 有 可 能 ,但 是 技术 实施 上 难度 大 。 


2. 节点 的 认证 机 制 


认证 机 制 是 指 通信 的 数据 接收 方 能 够 确认 数据 发 送 方 的 真实 身份 ,以 及 数据 在 传送 过 
程 中 是 否 遭 到 算 改 。 从 物 联 网 的 体系 结构 来 看 ,感知 识别 层 的 认证 机 制 非常 有 必要 。 身 份 
认证 是 确保 节点 的 身份 信息 ,加 密 机 制 通过 对 数据 进行 编码 来 保证 数据 的 机 密 性 ,以 防止 数 
据 在 传输 过 程 中 被 窃取 。 

PKI(Public Key Infrastructure) 即 公 钥 基础 设施 ,是 一 种 遵循 既定 标准 的 密 钥 管理 平 
台 , 它 能 够 为 所 有 网 络 应 用 提供 加 密 和 数字 签名 等 密码 服务 及 必需 的 密 钥 和 证 书 管理 体系 ， 
简单 来 说 ,PKI 就 是 利用 公 钥 理论 和 技术 建立 的 提供 安全 服务 的 基础 设施 。PKI 技术 是 信 
息 安 全 技术 的 核心 ,也 是 物 联网 安全 的 关键 和 基础 技术 。 

PKI 的 基础 技术 包括 加 密 、 数 字 签 名 、 数 据 完整 性 机 制 、 数 字 信 封 和 双重 数字 签名 等 。 

PKI 是 利用 公 钥 理论 和 技术 建立 的 提供 信息 安全 服务 的 基础 设施 ,是 解决 信息 的 真实 
性 ,完整 性 ,机 密 性 和 不 可 否认 性 这 一 系列 问题 的 技术 基础 ,是 物 联 网 环境 下 保障 信息 安全 
的 重要 方案 。 


3. 访问 控制 技术 


访问 控制 在 物 联网 环境 下 被 赋予 了 新 的 内 涵 , 从 TCP/IP 网 络 中 主要 对 “人 ”进行 访问 
授权 、 变 成 了 对 机 器 进行 访问 授权 .有 限制 的 分 配 、 交 互 共享 数据 在 机 器 与 机 器 之 间 将 变 得 
更 加 复杂 。 


4. 态势 分 析 及 其 他 


网 络 态势 感知 与 评估 技术 是 对 当前 和 未 来 一 段 时 间 内 的 网 络 运行 状态 进行 定量 和 定性 
的 评价 .实时 监测 和 预警 的 一 种 新 的 网 络 安 全 监控 技术 。 物 联网 的 网 络 态势 感知 与 评估 的 
有 关 理 论 和 技术 还 是 一 个 正在 开展 的 研究 领域 。 

深入 研究 这 一 领域 的 科学 问题 ,从 理论 到 实践 意义 上 来 讲 都 非常 值得 期 待 。 这 是 因为 
同 传统 的 TCP/IP 网 络 相 比 , 物 联网 领域 的 态势 感知 与 评估 被 赋予 了 新 的 研究 内 涵 ,不 仅 是 
网 络 安全 单一 方面 的 问题 ,还 涉及 物 联网 网 络 体系 结构 本 身 的 问题 ,如 传 感 智能 节点 的 能 量 
存储 问题 节点 布局 过 程 中 的 传输 延迟 问题 汇聚 节点 的 数据 流量 问题 等 。 这 些 网 络 本 身 的 
因素 对 于 传感器 网 络 的 正常 运行 都 是 极为 关键 的 。 

所 以 ,在 物 联 网 领域 中 态势 感知 与 评估 已 经 超越 了 IP 网 络 中 单纯 的 网 络 安全 的 意义 ， 
已 经 从 网 络 安全 延伸 到 了 网 络 正 常 运 行 状态 的 监控 ;另外 , 物 联网 结构 更 加 复杂 ,网 络 数据 
是 多 源 的 、 异 构 的 ,网 络 数据 具有 很 强 的 互补 性 ,元 余 性 和 实时 性 。 

在 同时 考虑 外 来 人 侵 的 前 提 下 ,需要 对 物 联网 网 络 数据 进行 深入 的 数据 挖掘 分 析 , 从 数 
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据 中 找 出 统计 规律 性 。 通 过 建立 传感器 网 络 数据 析 取 的 各 种 数学 模型 ,进行 规则 挖掘 和 融 
合 , 推 理 ,\ 归 纳 等 ,提出 能 客观 ,全 面 地 对 大 规模 物 联 网 网 络 正常 运行 做 态势 评估 的 指标 ,为 
传感器 网 络 的 安全 运行 提供 分 析 报警 等 措施 。 


2.2.2 密 钥 管理 机 制 


密 钥 系统 是 安全 的 基础 ,是 实现 感知 信息 隐私 保护 的 手段 之 一 。 对 互联 网 来 说 ,由 于 不 
存在 计算 资源 的 限制 , 非 对 称 和 对 称 密 钥 系统 都 可 以 适用 ,互联 网 面临 的 安全 主要 是 来 源 于 
其 最 初 的 开放 式 管理 模式 的 设计 ,是 一 种 没有 严格 管理 中 心 的 网 络 。 移 动 通信 网 是 一 种 相 
对 集中 式 管理 的 网 络 。 而 无 线 传感器 网 络 和 感知 节点 由 于 计算 资源 的 限制 ,对 密 钥 系统 提 
出 了 更 多 的 要 求 ,因此 , 物 联网 密 钥 管理 系统 面临 两 个 主要 问题 : 

(1) 如 何 构 建 一 个 贯穿 多 个 网 络 的 统一 密 钥 管理 系统 ,并 与 物 联网 的 体系 结构 相 适 应 

(2) 如 何 解 决 传感器 网 络 的 密 钥 管理 问题 ,如 密 钥 的 分 配 、 更 新 和 组 播 等 问题 。 

实现 统一 的 密 钥 管理 系统 可 以 采用 两 种 方式 : 

(1) 以 互联 网 为 中 心 的 集中 式 管理 方式 。 由 互联 网 的 密 钥 分 配 中 心 负责 整个 物 联网 的 
密 钥 管 理 , 一 旦 传感器 网 络 或 其 他 感知 网 络 接 入 互联 网 ,通过 密 钥 中 心 与 传感器 网 络 或 其 他 
感知 网 络 汇聚 点 进行 交互 ,实现 对 网 络 中 节点 的 密 钥 管理 。 

(2) 以 各 自 网 络 为 中 心 的 分 布 式 管理 方式 。 在 此 模式 下 ,互联 网 和 移动 通信 网 比较 容 
易 解决 ,但 在 传感器 网 络 环境 中 对 汇聚 点 的 要 求 就 比较 高 ,尽管 可 以 在 传感器 网 络 中 采用 簇 
头 选择 方法 ,推选 篮 头 ,形成 层次 式 网 络 结构 ,每 个 节点 与 相应 的 得 头 通信 , 徐 头 间 以 及 徐 头 
与 汇聚 节点 之 间 进行 密 钥 的 协商 ,但 对 于 多 跳 通信 的 边缘 节点 ,以 及 由 于 簇 头 选择 算法 和 入 
头 本 身 的 能 量 消耗 ,使 传感器 网 络 的 密 钥 管理 成 为 解决 问题 的 关键 。 

无 线 传感器 网 络 的 密 钥 管理 系统 的 设计 在 很 大 程度 上 受到 其 自身 特征 的 限制 ,因此 在 
设计 需求 上 与 有 线 网 络 和 传统 的 资源 不 受 限 制 的 无 线 网 络 有 所 不 同 , 特 别 要 充分 考虑 到 无 
线 传感器 网 络 传 感 节点 的 限制 和 网 络 组 网 与 路 由 的 特征 。 它 的 安全 需求 主要 体现 在 以 下 
5 点 ， 

(1) 密 钥 生成 或 更 新 算法 的 安全 性 : 利用 该 算法 生成 的 密 钥 应 具备 一 定 的 安全 强度 ,不 
能 被 网 络 攻击 者 轻易 地 或 者 花 很 小 的 代价 破解 , 即 加 密 后 保障 数据 包 的 机 密 性 。 

(2) 前 向 私密 性 : 对 中 途 退 出 传感器 网 络 或 者 被 俘获 的 恶意 节点 ,在 周期 性 的 密 钥 更 新 
或 者 撤销 后 无 法 再 利用 先前 所 获知 的 密 钥 信 息 生 成 合法 的 密 钥 继续 参与 网 络 通信 , 即 无 法 
参加 与 报 文 解密 或 者 生成 有 效 的 可 认证 的 报 文 。 

(3) 后 向 私密 性 和 可 扩展 性 : 新 加 入 传感器 网 络 的 合法 节点 可 利用 新 分 发 或 者 周期 性 
更 新 的 密 钥 参与 网 络 的 正常 通信 , 即 进行 报 文 的 加 解密 和 认证 行为 等 。 而 且 能 够 保障 网 络 
是 可 扩展 的 , 即 允 许 大 量 新 节点 的 加 入 。 

(4) 抗 同谋 攻击 : 在 传感器 网 络 中 ,若干 节点 被 俘获 后 ,其 所 掌握 的 密 钥 信 息 可 能 会 造 
成 网 络 局 部 范围 的 泄密 ,但 不 应 对 整个 网 络 的 运行 造成 破坏 性 或 损毁 性 的 后 果 , 即 密 钥 系统 
要 具有 抗 同谋 攻击 的 能 力 。 

(5) 源 端 认证 性 和 新 鲜 性 : 源 端 认证 要 求 发 送 方 身份 的 可 认证 性 和 消息 的 可 认证 性 , 即 
任何 一 个 网 络 数据 包 都 能 通过 认证 和 追踪 寻找 到 其 发 送 源 , 且 是 不 可 否认 的 。 新 鲜 性 则 保 
证 合法 的 节点 在 一 定 的 延迟 许可 内 能 收 到 所 需要 的 信息 。 新 鲜 性 除了 和 密 钥 管理 方案 紧密 
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相关 外 ,与 传感器 网 络 的 时 间 同 步 技术 和 路 由 算法 也 有 很 大 的 关联 。 

根据 这 些 要 求 ,在 密 钥 管理 系统 的 实现 方法 中 ,人 们 提出 了 基于 对 称 密 钥 系统 的 方法 和 
基于 非 对 称 密 钥 系统 的 方法 。 

在 基于 对 称 密 钥 的 管理 系统 方面 ,从 分 配方 式 上 也 可 分 为 以 下 3 类 : 基于 密 钥 分 配 中 
心 方式 、 预 分 配方 式 和 基于 分 组 分 能 方式 。 

典型 的 解决 方法 有 SPINS 协议 .基于 密 钥 池 预 分 配方 式 的 E2G 方法 和 q2Composite 方 
法 . 单 密 钥 空间 随机 密 钥 预 分 配方 法 .多 密 钥 空间 随机 密 钥 预 分 配方 法 对称 多 项 式 随 机 密 
钥 预 分 配方 法 .基于 地 理 信息 或 部 署 信息 的 随机 密 钥 预 分 配方 法 和 低能 耗 的 密 钥 管理 方 
法 等 。 

与 非 对 称 密 钥 系统 相 比 ,对 称 密 钥 系统 在 计算 复杂 度 方面 具有 优势 ,但 在 密 钥 管理 和 安 
全 性 方面 却 有 不 足 。 例 如 ,邻居 节点 间 的 认证 难于 实现 ,节点 的 加 入 和 退出 不 够 灵活 等 。 特 
别 是 在 物 联 网 环境 下 ,如 何 实现 与 其 他 网 络 的 密 钥 管理 系统 的 融合 是 值得 探讨 的 问题 。 为 
此 ,人 们 将 非 对 称 密 钥 系统 也 应 用 于 无 线 传感器 网 络 , 在 使 用 TinyOS 开发 环境 的 节点 上 ， 
采用 RSA 算法 实现 了 传感器 网 络 外 部 节点 的 认证 以 及 Tiny Sec 密 钥 的 分 发 。 

近 几 年 作为 非 对 称 密 钥 系统 的 基于 身份 标识 的 加 密 算 法 (Identity-based Encryption， 
IBE) 引 起 了 人 们 的 关注 。 该 算法 的 主要 思想 是 : 加 密 的 公 钥 不 需要 从 公 钥 证 书 中 获得 ,而 
是 直接 使 用 标识 用 户 身份 的 字符 串 。 最 初 提出 这 种 基于 身份 标识 加 密 算 法 的 动机 是 为 了 简 
化 电子 邮件 系统 中 证 书 的 管理 。 例 如 , 当 Alice 给 Bob 发 送 邮件 时 ,她 仅仅 需要 使 用 Bob 的 
邮箱 bob@company. com 作为 公 钥 来 加 密 邮 件 , 从 而 省 略 了 获取 Bob 公 钥 证 书 这 一 步骤 ; 当 
Bob 接收 到 加 密 后 的 邮件 时 ,联系 私 钥 生成 中 心 (Private Key Generator, PKG) ,同时 向 
PKG 验证 自己 的 身份 ,然后 就 能 够 得 到 私 钥 ,从 而 解密 邮件 。 

然而 ,在 Shamir 提出 IBE 算法 后 的 很 长 一 段 时 间 都 没有 能 找到 合适 的 实现 方法 。 直 到 
2001 年 ,由 Boneh 等 提出 可 实用 的 IBE 算法 .算法 利用 椭圆 曲线 双 线 性 映射 (bilinear map) 
来 实现 。 基 于 身份 标识 加 密 算法 具有 一 些 特征 和 优势 ,主要 体现 在 以 下 3 点 : 

(1) 它 的 公 钥 可 以 是 任何 唯一 的 字符 串 , 如 E-mail、 身份 证 或 者 其 他 标识 ,不 需要 PKI 
系统 的 证 书 发 放 , 使 用 起 来 简单 。 

(2) 由 于 公 钥 是 身份 等 标识 ,所 以 ,基于 身份 标识 的 加 密 算 法 解决 了 密 钥 分 配 的 问题 。 

(3) 基于 身份 标识 的 加 密 算法 具有 比 对 称 加 密 算 法 更 高 的 加 密 强度 。 在 同等 安全 级 别 
条 件 下 , 比 其 他 公 钥 加 密 算法 有 更 小 的 参数 ,因而 具有 更 快 的 计算 速度 和 更 小 的 存储 空间 。 

IBE 加 密 算法 一 般 由 4 部 分 组 成 : 系统 参数 建立 、 密 钥 提 取 、 加 密 和 解密 。 

表 2. 1 为 EPC global 网 络 (Electronic Product Code) 的 节点 标识 的 格式 , 共 96b 长 ,类 
似 于 网 卡 的 MAC 地 址 ,而 传感器 网 络 的 节点 一 般 都 有 身份 标识 ,采用 基于 身份 的 密 钥 系 
统 , 就 可 以 以 此 为 公 钥 ,实现 感知 信息 的 加 密 和 解密 。IBE 算法 的 复杂 性 主要 在 计算 双 线性 
对 上 ,寻求 简单 适用 的 双 线性 对 的 计算 方法 是 IBE 算法 能 否 广泛 应 用 的 关键 。 


表 2.1 EPC global 网 络 标签 身份 长 度 与 表示 内 容 


Header Filter Value Partition Company Prefix | Item Reference Serial Number 
20~40b 4~24b 
8b 3b 3b 38b 
Combined length 44b 
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2.2.3 数据 处 理 与 隐私 性 


物 联 网 的 数据 要 经 过 信息 感知 获取、 汇聚 融合、 传输、 存储 ,挖掘 ,决策 和 控制 等 处 理 
流程 ,而 末端 的 感知 网 络 几乎 要 涉及 上 述 信息 处 理 的 全 过 程 , 只 是 由 于 传 感 节点 与 汇聚 点 的 
资源 限制 ,在 信息 的 挖掘 和 决策 方面 不 占 居 主要 的 位 置 。 物 联网 应 用 不 仅 面临 信息 采集 的 
安全 性 ,也 要 考虑 到 信息 传送 的 私密 性 ,要 求 信息 不 能 被 自 改 和 非 授权 用 户 使 用 ,同时 ,还 要 
考虑 到 网 络 的 可 靠 、 可 信和 安全 。 物 联网 能 否 大 规模 推广 应 用 ,很 大 程度 上 取决 于 其 是 否 能 
够 保障 用 户 数据 和 隐私 的 安全 。 

就 传感器 网 络 而 言 ,在 信息 的 感知 采集 阶段 就 要 进行 相关 的 安全 处 理 , 如 对 RFID 采集 
的 信息 进行 轻 量 级 的 加 密 处 理 后 ,再 传送 到 汇聚 节点 。 这 里 要 关注 的 是 对 光学 标签 的 信息 
采集 处 理 与 安全 ,作为 感知 端的 物体 身份 标识 ,光学 标签 显示 了 独特 的 优势 ,而 虚拟 光学 的 
加 密 解密 技术 为 基于 光学 标签 的 身份 标识 提供 了 手段 ,基于 软件 的 虚拟 光学 密码 系统 由 于 
可 以 在 光波 的 多 个 维度 进行 信息 的 加 密 处 理 , 具 有 上 比 一 般 传统 的 对 称 加 密 系 统 更 高 的 安全 
性 ,数学 模型 的 建立 和 软件 技术 的 发 展 极 大 地 推动 了 该 领域 的 研究 和 应 用 推广 。 

数据 处 理 过 程 中 涉及 基于 位 置 的 服务 与 在 信息 处 理 过 程 中 的 隐私 保护 问题 。ACM 于 
2008 年 成 立 了 SIGSPATIAL(Special Interest Group on Spatial Information) ,致力 于 空间 
信息 理论 与 应 用 研究 。 基 于 位 置 的 服务 是 物 联 网 提供 的 基本 功能 ,是 定位 .电子 地 图 、 基 于 
位 置 的 数据 挖掘 和 发 现 、 自 适应 表达 等 技术 的 融合 。 定 位 技术 目前 主要 有 GPS 定位 、 基 于 
手机 的 定位 和 无 线 传感器 网 络 定位 等 。 无线 传感器 网 络 的 定位 主要 是 射频 识别 蓝牙 及 
ZigBee 等 。 基 于 位 置 的 服务 面临 严峻 的 隐私 保护 问题 ,这 既是 安全 问题 ,也 是 法 律 问 题 。 欧 
洲 通 过 了 隐私 与 电子 通信 法 ,对 隐私 保护 问题 给 出 了 明确 的 法 律 规定 。 

基于 位 置 的 服务 中 的 隐私 内 容 涉及 两 个 方面 ,一 是 位 置 隐私 ,二 是 查询 隐私 。 位 置 隐私 
中 的 位 置 指 用 户 过 去 或 现在 的 位 置 ,而 查询 隐私 指 敏 感 信息 的 查询 与 挖掘 ,如 某 用 户 经 常 查 
询 某 区 域 的 餐馆 或 医院 ,可 以 分 析 该 用 户 的 居住 位 置 、 收 入 状况 ,生活 行为 和 健康 状况 等 敏 
感 信息 ,造成 个 人 隐私 信息 的 泄漏 ,查询 隐私 就 是 数据 处 理 过 程 中 的 隐私 保护 问题 。 

所 以 ,这 就 面临 一 个 困难 的 选择 ,一 方面 希望 提供 尽 可 能 精确 的 位 置 服务 , 另 一 方面 又 
希望 个 人 的 隐私 得 到 保护 。 这 就 需要 在 技术 上 给 以 保证 。 目 前 的 隐私 保护 方法 主要 有 位 置 
伪装 、 时 空 匿名 和 空间 加 密 等 。 


2.2.4 安全 路 由 协议 


物 联 网 的 路 由 要 跨越 多 类 网 络 ,有 基于 IP 地 址 的 互联 网 路 由 协议 ,有 基于 标识 的 移动 
通信 网 和 传感器 网 络 的 路 由 算法 ,因此 至 少 要 解决 两 个 问题 ,一 是 多 网 融合 的 路 由 问题 ,二 
是 传感器 网 络 的 路 由 问题 。 前 者 可 以 考虑 将 身份 标识 映射 成 类 似 的 IP 地 址 ,实现 基于 地 址 
的 统一 路 由 体系 ; 后 者 是 由 于 传感器 网 络 的 计算 资源 的 局 限 性 和 易 受 到 攻击 的 特点 ,要 设 
计 抗 攻击 的 安全 路 由 算法 。 

无 线 传感器 网 络 路 由 协议 常 受 到 的 攻击 主要 有 虚假 路 由 信息 攻击 .选择 性 转发 攻击 ` 污 
水 池 攻 击 、 女 下 攻击 、 虫 洞 攻 击 、Hello 洪 泛 攻击 和 确认 攻击 等 。 表 2. 2 列 出 了 一 些 针 对 路 由 
的 常见 攻击 。 
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表 2.2 路 由 协议 的 安全 威胁 
路 由 协议 安全 威胁 
TinyOS 信 标 虚假 路 由 信息 .选择 性 转发 ,污水 池 、 女 巫 . 虫 洞 `Hello 洪 泛 
定向 扩散 虚假 路 由 信息 .选择 性 转发 ,污水 池 、 女 巫 . 虫 洞 `Hello 洪 泛 
地 理 位 置 路 由 虚假 路 由 信息 .选择 性 转发 女巫 
最 低 成 本 转发 虚假 路 由 信息 .选择 性 转发 ,污水 池 、 女 巫 ` 虫 洞 `Hello 洪 泛 
谣传 路 由 虚假 路 由 信息 .选择 性 转发 ,. 污 水池、 女巫. 虫 洞 
能 量 节约 的 拓扑 维护 (SPAN、GAF、 本 
CEC.AFECA) 虚假 路 由 信息 女巫 \Hello 洪 泛 
聚 簇 路 由 协议 (LEACH、TEEN) 选择 性 转发 .Hello 洪 泛 


表 2. 3 为 抗击 这 些 攻 击 可 以 采用 的 方法 。 
表 2.3 传感器 网 络 攻击 和 解决 方案 


攻击 类 型 解决 方法 
外 部 攻击 和 链 路 层 安全 链 路 层 加 密 和 认证 
女巫 攻击 身份 验证 
Hello 洪 泛 攻击 双向 链 路 认证 
虫 洞 和 污水 池 很 难 防御 ,必须 在 设计 路 由 协议 时 考虑 ,如 基于 地 理 位 置 路 由 
选择 性 转发 攻击 多 径路 由 技术 
认证 广播 和 洪 泛 广播 认证 ,如 LTESLA 


目前 ,国内 外 学 者 提出 了 多 种 无 线 传感器 网 络 路 由 协议 ,这 些 路 由 协议 最 初 的 设计 目标 
通常 是 以 最 小 的 通信 、 计 算 和 存储 开销 完成 节点 间 的 数据 传输 ,但 是 这 些 路 由 协议 大 都 没有 
考虑 到 安全 问题 。 实 际 上 由 于 无 线 传感器 节点 电量 有 限 、 计 算 能 力 有 限 、 存 储 容量 有 限 以 及 
部 署 野 外 等 特点 ,使 得 它 极 易 受 到 各 类 攻击 。 

针对 无 线 传感器 网 络 中 数据 传送 的 特点 ,目前 已 提出 许多 较为 有 效 的 路 由 技术 ,可 以 按 
路 由 算法 的 实现 方法 划分 为 以 下 几 类 

(1) 洪 泛 式 路 由 ,如 Gossiping 等 ; 

(2) 以 数据 为 中 心 的 路 由 ,如 Directed Diffusion .SPIN 等 ; 

(3) 层次 式 路 由 ,如 LEACH (Low Energy Adaptive Clustering Hierarchy)、TEEN 
(Threshold Sensitive Energy Efficient Sensor Network Protocol) 等 ; 

(4) 基于 位 置信 息 的 路 由 ,如 GPSR (Greedy Perimeter Stateless Routing)、GEAR 
(Geographic and Energy Aware Routing) 等 。 

下 面 主要 讨论 两 个 路 由 协议 。 

1. TRANS 


TRANS (Trust Routing for Location-aware Sensor Networks) 是 一 个 建立 在 地 理 路 由 
(如 GPSR) 之 上 的 安全 机 制 ,包含 两 个 模块 : 信任 路 由 模块 (Trust Routing Module, TRM) 
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和 不 安全 位 置 避免 模块 (Insecure Location Avoidance Module,ILAM) ,其 中 信任 路 由 模块 
安装 在 汇聚 节点 和 感知 节点 ,不 安全 位 置 避免 模块 仅 安装 在 汇聚 节点 。 


2. INSENS 


另 一 种 容 侵 的 安全 路 由 协议 为 INSENS (Intrusion-tolerant Routing Protocol for 
Wireless Sensor Networks) ,INSENS 包含 路 由 发 现 和 数据 转发 两 个 阶段 。 在 路 由 发 现 阶 
段 , 基 站 通过 多 跳 转 发 向 所 有 节点 发 送 一 个 查询 报 文 , 相 邻 节点 收 到 报 文 后 ,记录 发 送 者 的 
ID, 然 后 发 给 那些 还 没收 到 报 文 的 相 邻 节点 ,以 此 建立 邻居 关系 。 收 到 查询 报 文 的 节点 同时 
向 基站 发 送 自己 的 位 置 拓扑 等 反馈 信息 。 最 后 ,基站 生成 到 每 个 节点 有 两 条 独立 路 由 的 路 
由 转发 表 。 第 二 阶段 的 数据 包 转 发 就 可 以 根据 节点 的 路 由 转发 表 进 行 转发 。 


2.2.5 认证 与 访问 控制 


认证 指使 用 者 采用 某 种 方式 来 证 明 自 己 确实 是 自己 宣称 的 某 人 ,网 络 中 的 认证 主要 包 
括 身份 认证 和 消息 认证 。 

身份 认证 可 以 使 通信 双方 确信 对 方 的 身份 并 交换 会 话 密 钥 。 保 密 性 和 及 时 性 是 认证 的 
密 钥 交换 中 两 个 重要 的 问题 。 为 了 防止 假冒 和 会 话 密 钥 的 泄密 ,用 户 标识 和 会 话 密 钥 这 样 
的 重要 信息 必须 以 密 文 的 形式 传送 ,这 就 需要 事先 已 有 能 用 于 这 一 目的 的 主 密 钥 或 公 钥 。 
因为 可 能 存在 消息 重 放 , 所 以 及 时 人 性 非常 重要 ,在 最 坏 的 情况 下 ,攻击 者 可 以 利用 重 放 攻击 
威胁 会 话 密 钥 或 者 成 功 假冒 男 一 方 。 

消息 认证 主要 是 接收 方 希 望 能 够 保证 其 接收 的 消息 确实 来 自 真正 的 发 送 方 。 有 了 时 收发 
双方 不 同时 在 线 , 例 如 在 电子 邮件 系统 中 ,电子 邮件 消息 发 送 到 接收 方 的 电子 邮箱 中 ,并 一 
直 存 放 在 邮箱 中 直至 接收 方 读 取 为 止 。 广 播 认证 是 一 种 特殊 的 消息 认证 形式 ,在 广播 认证 
中 ,一 方 广播 的 消息 被 多 方 认证 。 

传统 的 认证 是 区 分 不 同 层次 的 ,网 络 层 的 认证 就 负责 网 络 层 的 身份 鉴别 ,业务 层 的 认证 
就 负责 业务 层 的 身份 鉴别 ,两 者 独立 存在 。 但 是 在 物 联 网 中 ,业务 应 用 与 网 络 通信 紧 紧 地 绑 
在 一 起 ,认证 有 其 特殊 性 。 例 如 , 当 物 联网 的 业务 由 运营 商 提供 时 ,就 可 以 充分 利用 网 络 层 
认证 的 结果 而 不 需要 进行 业务 层 的 认证 ; 或 者 当 业 务 是 敏感 业务 如 金融 类 业务 时 ,一 般 业 
务 提供 者 会 不 信任 网 络 层 的 安全 级 别 , 而 使 用 更 高 级 别 的 安全 保护 ,那么 这 个 时 候 就 需要 做 
业务 层 的 认证 ; 而 当 业 务 是 普通 业务 时 ,如 气温 采集 业务 等 ,业务 提供 者 认为 网 络 认 证 已 经 
足够 ,就 不 再 需要 业务 层 的 认证 。 

在 物 联 网 的 认证 过 程 中 ,传感器 网 络 的 认证 机 制 是 重要 的 研究 部 分 ,无 线 传感器 网 络 中 
的 认证 技术 主要 包括 基于 轻 量 级 公 钥 的 认证 、 预 共享 密 钥 的 认证 、 随 机 密 钥 预 分 布 的 认证 技 
术 、 利 用 辅助 信息 的 认证 和 基于 单 向 散 列 函数 的 认证 等 。 

(1) 基于 轻 量 级 公 钥 算法 的 认证 技术 。 鉴 于 经 典 的 公 钥 算 法 需要 高 计算 量 , 在 资源 有 
限 的 无 线 传感器 网 络 中 不 具有 可 操作 性 ,当前 有 一 些 研究 正 致力 于 对 公 钥 算法 进行 优化 设 
计 使 其 能 适应 无 线 传感器 网 络 .但 在 能 耗 和 资源 方面 还 存在 很 大 的 改进 空间 ,如 基于 
RSA 公 钥 算法 的 TinyPK 认证 方案 ,以 及 基于 身份 标识 的 认证 算法 等 。 

(2) 基于 预 共享 密 钥 的 认证 技术 。SNEP 方案 中 提出 两 种 配置 方法 : 一 是 节点 之 间 的 
共享 密 钥 ,二 是 每 个 节点 和 基站 之 间 的 共享 密 钥 。 这 类 方案 使 用 每 对 节点 之 间 共 享 一 个 主 
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密 钥 ,可 以 在 任何 一 对 节点 之 间 建 立 安 全 通信 。 缺 点 表现 为 扩展 性 和 抗 俘获 能 力 较 差 ,任意 
一 个 节点 被 俘获 后 就 会 暴露 密 钥 信息 ,进而 导致 全 网 络 瘫痪 。 

(3) 基于 单 向 散 列 函数 的 认证 方法 。 该 类 方法 主要 用 在 广播 认证 中 ,由 单 向 散 列 函 数 
生成 一 个 密 钥 链 ,利用 单 向 散 列 函数 的 不 可 逆 性 来 保证 密 钥 不 可 预测 。 通 过 某 种 方式 依次 
公布 密 钥 链 中 的 密 钥 ,可 以 对 消息 进行 认证 。 目 前 基于 单 向 散 列 函数 的 广播 认证 方法 主要 
是 对 LTESLA 协议 的 改进 。 

LTESLA 协议 以 TESLA 协议 为 基础 ,对 密 钥 更 新 过 程 和 初始 认证 过 程 进行 了 改进 ,使 
其 能 够 在 无 线 传感器 网 络 有 效 实施 。 

访问 控制 是 对 用 户 合法 使 用 资源 的 认证 和 控制 ,目前 信息 系统 的 访问 控制 主要 是 基于 
角色 的 访问 控制 机 制 (Role-Based Access Control,RBAC) 及 其 扩展 模型 。RBAC 机 制 主 要 
由 Sandhu 于 1996 年 提出 的 基本 模型 RBAC96 构成 ,一 个 用 户 先 由 系统 分 配 一 个 角色 ,如 
管理 员 或 普通 用 户 等 ,登录 系统 后 ,根据 用 户 的 角色 所 设置 的 访问 策略 实现 对 资源 的 访问 ， 
显然 ,同样 的 角色 可 以 访问 同样 的 资源 。RBAC 机 制 是 基于 互联 网 的 OA 系统 ,银行 系统 和 
网 上 商店 等 系统 的 访问 控制 方法 ,是 基于 用 户 的 。 对 物 联网 而 言 ,末端 是 感知 网 络 , 可 能 是 
一 个 感知 节点 或 一 个 物体 ,采用 用 户 角 色 的 形式 进行 资源 的 控制 显得 不 够 灵活 ,主要 表现 为 
以 下 3 点 : 一 是 RBAC 在 分 布 式 的 网 络 环境 中 已 呈现 出 不 适应 的 地 方 ,如 对 具有 时 间 约 东 
资源 的 访问 控制 ,访问 控制 的 多 层次 适应 性 等 方面 需要 进一步 探讨 ; 二 是 节点 不 是 用 户 , 是 
各 类 传感器 或 其 他 设备 , 且 种 类 繁多 ,RBAC 机 制 中 角色 类 型 无 法 一 一 对 应 这 些 节 点 ,因此 ， 
使 RBAC 机 制 难于 实现 ; 三 是 物 联网 表现 的 是 信息 的 感知 互动 过 程 ,包含 了 信息 的 处 理 , 决 
策 和 控制 等 过 程 ,特别 是 反 向 控制 是 物 物 互 连 的 特征 之 一 ,资源 的 访问 呈现 动态 性 和 多 层次 
性 ,而 在 RBAC 机 制 中 一 旦 用 户 被 指定 为 某 种 角色 , 它 的 可 访问 资源 就 相对 固定 了 。 所 以 ， 
寻求 新 的 访问 控制 机 制 是 物 联网 ` 也 是 互联 网 值得 研究 的 问题 。 

基于 属性 的 访问 控制 (Attribute-Based Access Control,ABAC) 是 近 几 年 研究 的 热点 ， 
如 果 将 角色 映射 成 用 户 的 属性 ,可 以 构成 ABAC 与 RBAC 的 对 等 关系 ,而 属性 的 增加 相对 
简单 ,同时 基于 属性 的 加 密 算 法 可 以 使 ABAC 得 以 实现 。ABAC 方法 的 问题 是 ,对 较 少 的 
属性 来 说 ,加 密 解密 的 效率 较 高 ,但 随 着 属性 数量 的 增加 ,加 密 的 密 文 长 度 增加 ,使 算法 的 实 
用 性 受到 限制 。 目 前 有 两 个 发 展 方向 : 基于 密 钥 策 略 和 基于 密 文 策略 ,其 目标 就 是 改善 基 
于 属性 的 加 密 算法 的 性 能 。 


2.2.6 人 侵 检测 与 容 侵 容 错 技术 


容 侵 就 是 指 在 网 络 中 存在 恶意 人 侵 的 情况 下 ,网 络 仍然 能 够 正常 地 运行 。 无 线 传感器 
网 络 的 安全 隐患 在 于 网 络 部 署 区 域 的 开放 特性 以 及 无 线 电网 络 的 广播 特性 ,攻击 者 往往 利 
用 这 两 个 特性 ,通过 阻碍 网 络 中 节点 的 正常 工作 ,进而 破坏 整个 传感器 网 络 的 运行 ,降低 网 
络 的 可 用 性 。 无 人 值守 的 恶劣 环境 导致 无 线 传感器 网 络 缺 少 传统 网 络 中 的 物理 上 的 安全 ， 
传感器 节点 很 容易 被 攻击 者 俘获 毁坏 或 妥协 。 

现 阶段 无 线 传感器 网 络 的 容 侵 技术 主要 集中 于 网 络 的 拓扑 容 侵 、 安 全 路 由 容 侵 以 及 数 
据 传输 过 程 中 的 容 侵 机 制 。 

无 线 传感器 网 络 可 用 性 的 另 一 个 要 求 是 网 络 的 容错 性 。 一 般 意义 上 的 容错 性 是 指 在 故 
障 存在 的 情况 下 系统 不 失效 ,仍然 能 够 正常 工作 的 特性 。 无 线 传感器 网 络 的 容错 性 指 的 是 
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当 部 分 节点 或 链 路 失效 后 ,网 络 能 够 进行 传输 数据 的 恢复 或 者 网 络 结构 自 愈 ,从 而 尽 可 能 减 
小 节点 或 链 路 失效 对 无 线 传感器 网 络 功能 的 影响 。 由 于 传感器 节点 在 能 量 存储 空间 .计算 
能 力 和 通信 带宽 等 诸多 方面 都 受 限 ,而 且 通常 工作 在 恶劣 的 环境 中 ,网 络 中 的 传感器 节点 经 
常会 出 现 失效 的 状况 。 因 此 ,容错 性 成 为 无 线 传感器 网 络 中 一 个 重要 的 设计 因素 ,容错 技术 
也 是 无 线 传感器 网 络 研究 的 一 个 重要 领域 。 目 前 相关 领域 的 研究 主要 集中 在 3 个 方面 : 

(1) 网 络 拓扑 中 的 容错 。 通 过 对 无 线 传 感 器 网 络 设计 合理 的 拓扑 结构 ,保证 网 络 出 现 
断裂 的 情况 下 能 正常 进行 通信 。 

(2) 网 络 覆 盖 中 的 容错 。 无 线 传感器 网 络 的 部 署 阶段 ,主要 研究 在 部 分 节点 和 链 路 失 
效 的 情况 下 ,如 何事 先 部 署 或 事后 移动 ,补充 传感器 节点 ,从 而 保证 对 监测 区 域 的 覆盖 和 保 
持 网 络 节点 之 间 的 连通 。 

(3) 数据 检测 中 的 容错 机 制 。 主 要 研究 在 恶劣 的 网 络 环境 中 , 当 一 些 特定 事件 发 生 时 ， 
处 于 事件 发 生 区 域 的 节点 如 何 能 够 正确 获取 到 数据 。 

典型 的 无 线 传感器 网 络 中 的 容 侵 框 架 包 括 3 个 部 分 : 

(1) 判定 恶意 节点 。 

主要 任务 是 要 找 出 网 络 中 的 受 攻击 节点 或 被 妥协 的 节点 。 基 站 随机 发 送 一 个 通过 公 钥 
加 密 的 报 文 给 节点 ,为 了 回应 这 个 报 文 ,节点 必须 能 够 利用 其 私 钥 对 报 文 进行 解密 并 回 送 给 
基站 ,如 果 基 站 长 时 间接 收 不 到 节点 的 回应 报 文 , 则 认为 该 节点 可 能 遭受 到 入 侵 。 

另 一 种 判定 机 制 是 利用 邻居 节点 的 签名 。 如 果 节 点 发 送 数据 包 给 基站 ,需要 获得 一 定 
数量 的 邻居 节点 对 该 数据 包 的 签名 。 当 数据 包 和 签名 到 达 基 站 后 ,基站 通过 验证 签名 的 合 
法 性 来 判定 数据 包 的 合法 性 ,进而 判定 节点 为 恶意 节点 的 可 能 性 。 

(2) 发 现 恶意 节点 后 启动 容 侵 机 制 。 

当 基 站 发 现 网 络 中 的 可 能 存在 的 恶意 节点 后 , 则 发 送 一 个 信息 包 告 知 恶意 节点 周围 的 
邻居 节点 可 能 的 入 侵 情 况 。 因 为 还 不 能 确定 节点 是 否 恶 意 节点 ,邻居 节点 只 是 将 该 节点 的 
状态 修改 为 容 侵 , 即 节点 仍然 能 够 在 邻居 节点 的 控制 下 进行 数据 的 转发 。 

(3) 通过 节点 之 间 的 协作 ,对 恶意 节点 做 出 处 理 决 定 (排除 或 是 恢复 ) 。 

一 定数 量 的 邻居 节点 产生 编造 的 报警 报 文 , 并 对 报警 报 文 进行 正确 的 签名 ,然后 将 报警 
报 文 转发 给 恶意 节点 。 邻 居 节 点 监测 恶意 节点 对 报警 报 文 的 处 理 情况 。 

正常 节点 在 接收 到 报警 报 文 后 ,会 产生 正确 的 签名 ,而 恶意 节点 则 可 能 产生 无 效 的 签 
名 。 邻 居 节 点 根据 接收 到 的 恶意 节点 的 无 效 签名 的 数量 来 确定 节点 是 恶意 节点 的 可 能 性 。 

通过 各 个 邻居 节点 对 节点 是 恶意 节点 性 测 时 信息 的 判断 ,选择 攻击 或 放弃 。 

根据 无 线 传感器 网 络 中 不 同 的 入侵 情况 ,可 以 设计 出 不 同 的 容 侵 机 制 ,如 无 线 传感器 网 
络 中 的 拓扑 容 侵 、 路 由 容 侵 和 数据 传输 容 侵 等 机 制 。 前 面 讨论 的 路 由 协议 INTRSN 就 是 具 
有 路 由 容 侵 机 制 的 情况 。 


2.2.7 决策 与 控制 安全 


物 联 网 的 数据 是 一 个 双向 流动 的 信息 流 ,一 是 从 感知 端 采集 物理 世界 的 各 种 信息 ,经 过 
数据 的 处 理 , 存 储 在 网 络 的 数据 库 中 ; 二 是 根据 用 户 的 需求 进行 数据 的 挖掘 、 决 策 和 控制 ， 
实现 与 物理 世界 中 任何 互 连 物体 的 互动 。 

前 面 讨 论 了 数据 采集 处 理 中 的 隐私 性 等 安全 问题 ,而 决策 控制 又 将 涉及 另 一 个 安全 问 
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题 ,如 可 靠 性 等 。 前 面 讨论 的 认证 和 访问 控制 机 制 可 以 对 用 户 进行 认证 ,使 合法 的 用 户 才能 
使 用 相关 的 数据 ,并 对 系统 进行 控制 操作 。 但 问题 是 如 何 保证 决策 和 控制 的 正确 性 和 可 
靠 性 。 

在 传统 的 无 线 传感器 网 络 中 由 于 侧重 对 感知 端的 信息 获取 ,对 决策 控制 的 安全 考虑 不 
多 ,互联 网 的 应 用 也 是 侧重 于 信息 的 获取 与 挖掘 , 较 少 应 用 对 第 三 方 的 控制 。 而 物 联 网 中 对 
物体 的 控制 将 是 重要 的 组 成 部 分 ,需要 作 更 深入 的 研究 。 


2.2.8 物 联网 安全 技术 发 展现 状 


物 联网 的 安全 和 隐私 保护 是 物 联网 服务 能 否 大 规模 应 用 的 关键 , 物 联 网 的 多 源 异 构 性 
使 其 安全 面临 巨大 的 挑战 。 就 单一 网 络 而 言 ,互联 网 和 移动 通信 网 等 已 建立 了 一 些 行 之 有 
效 的 机 制 和 方法 ,为 日 常生 活 和 工作 提供 了 丰富 的 信息 资源 ,改变 了 人 们 的 生活 和 工作 方 
式 。 而 传感器 网 络 以 及 扩大 到 物 联网 的 安全 研究 仍 处 于 初始 阶段 ,还 没有 提供 一 个 完整 的 
解决 方案 ,由 于 传感器 网 络 的 资源 局 限 性 ,使 其 安全 问题 的 研究 难度 增 大 ,因此 ,传感器 网 络 
的 安全 研究 将 是 物 联网 安全 的 重要 组 成 部 分 。 

目前 在 无 线 传感器 网 络 安全 方面 ,人 们 就 密 钥 管理 ,安全 路 由 ,认证 与 访问 控制 .数据 隐 
私 保护 ` 人 侵 检测 与 容错 容 侵 以 及 安全 决策 与 控制 等 方面 进行 了 相关 研究 , 密 钥 管理 作为 多 
个 安全 机 制 的 基础 一 直 是 研究 的 热点 ,但 并 没有 找到 理想 的 解决 方案 ,要 么 寻求 更 轻 量 级 的 
加 密 算 法 ,要 么 提高 传感器 节点 的 性 能 。 

目前 的 方法 距离 实际 应 用 还 有 一 定 的 距离 ,特别 是 到 目前 为 止 ,真正 的 大 规模 的 无 线 传 
感 器 网 络 的 实际 应 用 仍然 太 少 ,多 跳 自 组 织 网 络 环境 下 的 大 规模 数据 处 理 ( 如 路 由 和 数据 融 
合 ) 使 很 多 理论 上 的 小 规模 仿真 失去 意义 ,而 在 这 种 环境 下 的 安全 问题 才 是 传感器 网 络 安全 
的 难点 所 在 。 

同时 ,如 何 建 立 有 效 的 多 网 融合 的 安全 架构 ,建立 一 个 跨越 多 网 的 统一 安全 模型 ,形成 
有 效 的 共同 协调 防御 系统 也 是 重要 的 研究 方向 之 一 。 


习题 二 


. 常用 的 信息 安全 技术 有 哪 几 种 ? 

. 电子 签证 机 关 (CA) 的 概念 是 什么 ? 

. 简 述 数字 签名 技术 的 基本 原理 与 具体 应 用 

. 物 联网 中 的 加 密 机 制 实施 时 的 主要 困难 是 什么 ? 

. 物 联网 的 数据 要 经 过 哪 几 层 处 理 流程 ? 

. 物 联网 密 钥 管理 系统 面临 哪 两 个 主要 问题 ? 

. 什么 是 安全 路 由 协议 ? 按 路 由 算法 的 实现 方法 划分 ,通常 有 哪 几 种 路 由 ? 
. 传感器 网 络 可 能 受到 哪 几 种 攻击 ? 对 应 的 解决 方案 是 什么 ? 

. 无 线 传感器 网 络 中 的 认证 技术 有 哪 几 种 ? 

10. 简 述 物 联 网 安全 技术 的 发 展现 状 。 


iD oo 站 加 世上 上 虽 王 
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3.1 密码 学 基本 概念 


3.1.1 密码 学 的 定义 和 作用 


密码 学 是 主要 研究 通信 安全 和 保密 的 学 科 , 它 包括 两 个 分 支 : 密码 编码 学 和 密码 分 析 
学 。 密 码 编码 学 主要 研究 对 信息 进行 变换 ,以 保护 信息 在 传递 过 程 中 不 被 敌 方 窃取 、 解 读 和 
利用 的 方法 ;而 密码 分 析 学 则 与 密码 编码 学 相反 , 它 主要 研究 如 何 分 析 和 破译 密码 。 这 两 者 
之 间 既 相互 对 立 又 相互 促进 。 

密码 的 基本 思想 是 对 机 密 信息 进行 伪装 。 一 个 密码 系统 完成 如 下 伪装 : 加 密 者 对 需要 
进行 伪装 的 机 密 信 息 ( 明 文 ) 进 行 变 换 ( 加 密 变 换 ), 得 到 另外 一 种 看 起 来 似乎 与 原 有 信息 不 
相关 的 表示 ( 密 文 ;。 如 果 合 法 者 (接收 者 ) 获 得 了 伪装 后 的 信息 ,可 以 通过 事先 约定 的 密 钥 ， 
从 得 到 的 信息 中 分 析 得 到 原 有 的 机 密 信息 (解密 变换 ); 而 如 果 不 合法 的 用 户 ( 密 码 分 析 者 ) 
试图 从 这 种 伪装 后 的 信息 中 分 析 得 到 原 有 的 机 密 信息 ,这 种 分 析 过 程 要 么 是 根本 是 不 可 能 
的 ,要 么 代价 过 于 巨大 ,以 至 于 无 法 进行 。 

图 3.1 简要 显示 了 在 互联 网 环境 下 使 用 加 密 技术 的 加 密 /解密 过 程 。 


发 信 方 收 信 方 


图 31 加 密 技术 示意 


使 用 密码 学 可 以 达到 以 下 目的 : 

(1) 保密 性 : 防止 用 户 的 标识 或 数据 被 读 取 。 
(2) 数据 完整 性 : 防止 数据 被 更 改 。 

(3) 身份 验证 : 确保 数据 发 自 特定 的 一 方 。 


3.1.2 ”密码 学 的 发 展 历程 
人 类 有 记载 的 通信 密码 始 于 公元 前 400 年 。 密 码 学 的 起 源 可 以 追溯 到 人 类 刚刚 出 现 ， 


并 且 尝 试 去 学 习 如 何 通信 的 时 候 , 为 了 确保 他 们 的 通信 的 机 密 , 最 先是 有 意识 地 使 用 一 些 简 
单 的 方法 来 加 密 信息 ,通过 一 些 (密码 ) 象 形 文字 相互 传达 信息 。 随 后 ,由 于 文字 的 出 现 和 使 
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用 ,确保 通信 的 机 密 性 就 成 为 一 种 艺术 ,古代 发 明了 不 少 加 密 信息 和 传达 信息 的 方法 。 例 
如 ,我国 古代 的 烽火 是 一 种 传递 军情 的 方法 ,古代 的 兵 符 是 用 来 传达 信息 的 密令 , 浆 功 江湖 
的 侠 士 都 有 秘密 的 黑道 行 话 ,起 义军 在 秘密 起 义 前 约定 地 下 联络 的 暗语 ,这 都 促进 了 密码 学 
的 发 展 。 

而 密码 学 真正 成 为 科学 是 在 19 世纪 末 和 20 世纪 初期 ,由 于 军事 ,数学 和 通信 等 相关 技 
术 的 发 展 ,特别 是 两 次 世界 大 战 中 对 军事 信息 保密 传递 和 破获 敌 方 信息 的 需求 ,使 密码 学 得 
到 了 空前 的 发 展 ,并 广泛 地 用 于 军事 情报 部 门 的 决策 。 

太平 洋 战 争 中 ,美军 破译 了 日 本 海军 的 密码 机 , 读 懂 了 日 本 舰队 司令 官 山 本 五 十 六 发 给 各 
指挥 官 的 命令 ,在 中 途 岛 彻底 击溃 了 日 本 海军 ,导致 了 太平 洋 战 争 的 决定 性 转折 ,而 且 不 久 还 
击毙 了 山本 五 十 六 。 德 国 在 第 二 次 世界 大 战 的 初期 在 密码 破译 方面 占据 着 优势 地 位 ,德国 于 
战争 期 间 使 用 的 密码 机 如 图 3. 2 所 示 。 因 此 可 以 说 ,密码 学 在 战争 中 起 着 非常 重要 的 作用 。 


图 32 德国 海军 转 轮 密码 机 ENIGMA 


1883 年 Kerchoffs 第 一 次 明确 提出 了 编码 的 原则 : 加 密 算法 应 在 算法 公开 时 不 影响 明 
文 和 密 钥 的 安全 。 这 一 原则 已 得 到 普遍 承认 ,成 为 判定 密码 强度 的 衡量 标准 ,实际 上 也 成 为 
传统 密码 和 现代 密码 的 分 界线 。 

随 着 信息 化 和 数字 化 社会 的 发 展 ,人 们 对 信息 安全 和 保密 的 重要 性 的 认识 不 断 提高 。 
如 网 络 银 行 、 电 子 购 物 和 电子 邮件 等 正在 悄悄 地 融入 普通 百姓 的 日 常生 活 中 ,人 们 自然 要 关 
注 其 安全 性 。1977 年 ,美国 国家 标准 局 公布 实施 了 “美国 数据 加 密 标 准 ”(DES) ,军事 部 门 垄 
断 密码 的 局 面 被 打破 ,民间 力量 开始 全 面 介 入 密码 学 的 研究 和 应 用 中 。 民 用 的 加 密 产品 在 
市 场 上 已 有 大 量 出 售 ,采用 的 加 密 算法 有 DES IDEA 和 RSA 等 。 

现 有 的 密码 体制 类 型 繁多 ,各 不 相同 。 但 是 它们 都 可 以 分 为 私 钥 密码 (如 DES 密码 ) 和 
公 钥 密码 (如 公开 密 钥 密码 ) 。 前 者 的 加 密 过 程 和 解密 过 程 相 同 ,而 且 所 用 的 密 钥 也 相同 ;后 
者 ,每 个 用 户 都 有 公开 密 钥 。 数 据 加 密 的 模型 如 图 3. 3 所 示 。 


加 密 密 钥 K。 解密 密 钥 Ka 


图 33 数据 加 密 的 模型 
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密码 编码 学 主要 致力 于 信息 加 密 、 信 息 认证 数字 签名 和 密 钥 管理 方面 的 研究 。 信 息 加 
密 的 目的 在 于 将 可 读 信息 转变 为 无 法 识别 的 内 容 , 使 得 截获 这 些 信息 的 人 无 法 阅读 ,同时 信 
息 的 接收 人 能 够 验证 接收 到 的 信息 是 否 被 敌 方 自 改 或 替换 过 。 数 字 签 名 就 是 信息 的 接收 人 
能 够 确定 接收 到 的 信息 是 否 确实 是 由 所 希望 的 发 信人 发 出 的 。 密 钥 管 理 是 信息 加 密 中 最 难 
的 部 分 ,因为 信息 加 密 的 安全 性 在 于 密 钥 。 历 史上 ,各 国 军事 情报 机 构 在 猎取 别 国 的 密 钥 管 
理 方法 上 要 比 破译 加 密 算法 成 功 得 多 。 

密码 分 析 学 与 密码 编码 学 的 方法 不 同 , 它 不 依赖 数学 逻辑 的 不 变 真理 ,必须 凭 经 验 , 依 
赖 客观 世界 觉察 得 到 的 事实 。 因 而 ,密码 分 析 更 需要 发 挥 人 的 聪明 才智 ,更 具有 挑战 性 。 

现代 密码 学 是 一 门 迅速 发 展 的 应 用 科学 。 随 着 互联 网 的 迅速 普及 ,人 们 依靠 它 传送 大 
量 的 信息 ,但 是 这 些 信 息 在 网 络 上 的 传输 都 是 公开 的 。 因 此 ,对 于 关系 到 个 人 利益 的 信息 必 
须 经 过 加 密 之 后 才 可 以 在 网 上 传送 ,这 离 不 开 现代 密码 技术 。 


3.1.3 古典 密码 学 


从 密码 学 发 展 历程 来 看 ,可 分 为 古典 密码 (以 字符 为 基本 加 密 单元 的 密码 ) 以 及 现代 密 
码 (以 信息 块 为 基本 加 密 单 元 的 密码 ) 两 类 。 古 典 密码 有 着 悠久 的 历史 ,从 古代 一 直到 计算 
机 出 现 以 前 ,古典 密码 学 主要 有 两 大 基本 方法 : 

(1) 代替 密码 : 将 明文 的 字符 蔡 换 为 密 文 中 的 另 一 种 字符 ,接收 者 只 要 对 密 文 做 反 向 蔡 
换 就 可 以 恢复 明文 。 

(2) 置换 密码 (又 称 易 位 密码 ): 明文 的 字母 保持 相同 ,但 顺序 被 打 乱 了 。 


1. 代替 密码 


代替 密码 也 称 蔡 换 密码 ,是 使 用 蔡 换 法 进行 加 密 所 产生 的 密码 。 蔡 换 密码 就 是 明文 中 
每 一 个 字符 被 蔡 换 成 密 文 中 的 另 一 个 字符 ,替换 后 的 各 字母 保持 原来 位 置 。 接 收 者 对 密 文 
进行 着 替换 就 恢复 明文 。 

在 蔡 换 密码 加 密 体制 中 使 用 了 密 钥 字母 表 。 它 可 以 由 明文 字母 表 构 成 ,也 可 以 由 多 个 
字母 表 构成 。 

在 传统 密码 学 中 ,有 4 种 类 型 的 代替 密码 : 

(1) 单 表 (简单 ) 蔡 换 密码 : 明文 的 一 个 字符 用 相应 的 一 个 密 文字 符 蔡 代 。 加 密 过 程 是 
从 明文 字母 表 到 密 文字 母 表 的 一 一 映射 ,例如 恺 撤 (Caesar) 密 码 。 

(2) 同音 (多 名 码 ) 蔡 换 密码 : 与 简单 蔡 代 密码 系统 相似 .唯一 的 不 同 是 明文 的 一 个 字符 
可 以 映射 成 密 文 的 几 个 字符 之 一 ,同音 替代 的 密 文 并 不 唯一 。 

(3) 多 字母 组 蔡 换 密码 : 字符 块 被 成 组 加 密 . 例 如 ,“ABA” 可 能 对 应 “RTQ”,“ABB” 可 
能 对 应 “SLL” 等 。Playfair 密码 就 是 这 类 密码 的 实例 。 

(4) 多 表 蔡 换 密 码 : 由 多 个 单字 母 密码 构成 ,每 个 密 钥 加 密 对 应 位 置 的 明文 , 例如 维 吉 
尼 亚 密码 。 

例 : 恺 撒 CCaesar) 密 码 

已 撒 密码 又 叫 循 环 移 位 密码 。 它 的 加 密 方 法 就 是 把 明文 中 所 有 字母 都 用 它 右边 的 第 
个 字母 替代 ,并 认为 Z 后 边 又 是 A。 例如 ,图 3.4 所 示 就 是 循环 移动 3 位 的 恺 撤 加 密 法 。 

这 种 映射 关系 表示 为 如 下 函数 : 
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明文 字母 a b c d © f g h i j k 1 m 
密 文 字母 d|je|f |g|h i j k 1|Im|nlo 
明文 字母 nl|o|lplq 3 和 t u 二 医 = 引 本: 恒 攻 亲本 
密 文字 母 q C s 和 u A y z a ,国医 :| 


34 恺 撤 加 密 法 


F(a)=(atk) mod 26 
其 中 : a 表示 明文 字母 ,k 为 密 钥 。 
设 A 一 3, 则 有 如 图 3.4 所 示 的 字母 替代 关系 。 


对 于 明文 P=computer systems 
有 密 文 C 一 frpsxwhu vbvwhpv 

显然 ,由 密 文 C 恢复 明文 非常 容易 ,只 要 知道 密 钥 玉 , 就 可 构造 一 张 映 射 表 。 其 加 密 和 
解密 均 可 根据 此 映射 表 进 行 。 

忆 撤 密码 的 优点 是 密 钥 简单 易 记 。 但 它 的 密 文 与 明文 的 对 应 关系 过 于 简单 , 故 安全 性 
很 差 。 

2. 置换 密码 


置换 密码 算法 的 原理 是 不 改变 明文 字符 ,而 是 按照 某 一 规则 重新 排列 消息 中 的 比特 或 
字符 顺序 ,从 而 实现 明文 信息 的 加 密 。 置 换 密码 有 时 又 称 为 易 位 密码 。 
矩阵 换 位 法 是 实现 置换 密码 的 一 种 常用 方法 。 它 将 明文 中 的 字母 按照 给 定 的 顺序 安排 
在 一 个 矩阵 中 ,然后 根据 密 钥 提供 的 顺序 重新 组 合 矩 阵 中 的 字母 ,从 而 形成 密 文 。 
其 解密 过 程 是 根据 密 钥 的 字母 数 作为 列 数 ,将 密 文 按照 行 的 顺序 写 出 ,再 根据 由 密 钥 给 
出 的 顺序 置换 产生 新 的 矩阵 ,从 而 恢复 明文 。 
例 : 密 钥 短语 密码 
选择 一 组 有 助 于 记忆 的 英文 字符 串 作为 密 钥 ,从 中 筛选 无 重复 的 字符 按 原 顺序 记 下 字 
符 串 , 写 在 明文 字母 表 下 ,然后 将 未 出 现在 字符 串 的 字母 按 顺 序 依 次 写 在 密 钥 短语 后 。 
如 选择 密 钥 短语 network security, 则 有 
明文 abcdefghijklmnopqrstuvwxyz 
密 文 :networkscuiyabdfghjlmpqvxz 
若 明 文 为 data access, 则 密 文 为 wnln nttojj。 其 他 密码 变换 依 此 类 推 。 


3.1.4 现代 密码 学 


直到 现代 以 前 ,密码 学 几乎 专 指 加 密 算法 。 近 代 密 码 学 者 多 认为 ,除了 传统 上 的 加 解密 
算法 以 外 ,密码 协议 ,即使 用 密码 技术 的 通信 协议 ,也 一 样 重要 ,两 者 为 密码 学 研究 的 两 大 
课题 。 

根据 密 钥 类 型 不 同 将 现代 密码 技术 分 为 两 类 : 对 称 加 密 算 法 (秘密 密 钥 加 密 ) 和 非 对 称 
加 密 算法 (公开 密 钥 加 密 ) 。 

对 称 加 密 系统 是 加 密 和 解密 均 采用 同一 把 密 钥 ,而 且 通 信 双 方 都 必须 获得 这 把 密 钥 ,并 
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保持 密 钥 的 秘密 。 

非 对 称 加 密 系统 采用 的 加 密 密 钥 ( 公 钥 ) 和 解密 密 钥 ( 私 钥 ) 是 不 同 的 。 

现代 密码 学 大 致 可 被 区 分 为 几 个 领域 。 对 称 密 钥 密 码 学 指 的 是 传送 方 与 接收 方 都 拥有 
相同 的 密 钥 。 直 到 1976 年 这 都 还 是 唯一 的 公开 加 密 法 。 

现代 的 研究 主要 集中 在 分 组 密码 与 流 密码 及 其 应 用 。 分 组 密码 在 某 种 意义 上 是 阿 伯 提 
的 多 字符 加 密 法 的 现代 化 。 


1. 分 组 密码 


取 明 文 的 一 个 分 组 和 密 钥 ,输出 相同 大 小 的 密 文 分 组 。 由 于 信息 通常 比 单一 分 组 长 , 因 
此 有 了 各 种 方式 将 连续 的 分 组 编织 在 一 起 。DES 和 AES 是 美国 联邦 政府 核定 的 分 组 密码 
标准 (AES 将 取代 DES)。 尽 管 将 从 标准 上 上 废除 ,DES 依然 很 流行 (Triple-DES 变形 仍然 相 
当 安 全 ) ,被 使 用 在 非常 多 的 应 用 上 ,如 自动 交易 机 、 电 子 邮 件 和 远 端 存 取 等 。 也 有 许多 其 他 
的 分 组 加 密 被 发 明 , 在 品质 与 应 用 上 各 有 不 同 ,其 中 也 不 乏 被 破解 者 。 


2. 流 密码 


相对 于 分 组 加 密 , 制 造 一 段 任意 长 的 密 钥 原料 ,与 明文 依 位 元 或 字符 结合 ,有 点 类 似 一 
次 性 密码 本 (one-time pad) 。 输 出 的 串 流 根 据 加 密 时 的 内 部 状态 而 定 。 在 一 些 流 密码 上 由 
密 钥 控制 状态 的 变化 。RC4 是 相当 有 名 的 流 密码 。 


3.1.5 加 密 技 术 分 类 


加 密 技术 可 以 分 为 以 下 两 类 。 
1. 对 称 密 钥 加 密 系统 


对 称 密码 体制 是 一 种 传统 密码 体制 ,也 称 为 私 钥 密码 体制 。 在 对 称 加 密 系统 中 ,加 密 和 
解密 采用 相同 的 密 钥 。 因 为 加 解密 的 密 钥 相 同 , 需 要 通信 双方 必须 选择 和 保存 他 们 共同 的 
密 钥 ,各 方 必须 信任 对 方 不 会 将 密 钥 泄露 出 去 ,这 样 就 可 以 实现 数据 的 机 密 性 和 完整 性 。 

对 于 具有 个 用 户 的 网 络 , 需 要 n(n 一 1)/2 个 密 钥 ,在 用 户 群 不 是 很 大 的 情况 下 ,对 称 
加 密 系统 是 有 效 的 。 但 是 对 于 大 型 网 络 , 当 用 户 群 很 大 、 分 布 很 广 时 , 密 钥 的 分 配 和 保存 就 
成 了 问题 。 

对 机 密 信息 进行 加 密 和 验证 是 通过 随 报 文 一 起 发 送 报 文摘 要 (或 散 列 值 ) 来 实现 的 。 比 
较 典 型 的 算法 有 DES(Data Encryption Standard, 数 据 加 密 标准 ) 算 法 及 其 变 体 Triple DES 
(三 重 DES) .GDES( 广 义 DES) .欧洲 的 IDEA 日 本 的 FEALN 和 RC5 等 。 

DES 标准 由 美国 国家 标准 局 提出 ,主要 应 用 于 银行 业 的 电子 资金 转账 (EFT) 领 域 。 
DES 的 密 钥 长 度 为 56b。Triple DES 使 用 两 个 独立 的 56b 密 钥 对 交换 的 信息 进行 3 次 加 
密 , 从 而 使 其 有 效 长 度 达到 112b。 

RC2 和 RC4 方法 是 RSA 数据 安全 公司 的 对 称 加 密 专 利 算法 ,它们 采用 可 变 密 钥 长 度 
的 算法 。 通 过 规定 不 同 的 密 钥 长 度 ,RC2 和 RC4 能 够 提高 或 降低 安全 的 程度 。 对 称 加 密 算 
法 的 优点 是 计算 开销 小 ,加 密 速度 快 ,是 目前 用 于 信息 加 密 的 主要 算法 。 它 的 局 限 性 在 于 通 
信和 双方 能 否 确 保密 钥 安 全 交换 的 问题 。 
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此 外 , 某 一 贸易 方 有 几 个 贸易 关系 ,就 要 维护 几 个 专用 密 钥 。 对 称 加 密 系 统 也 无 法 鉴别 
贸易 发 起 方 或 贸易 最 终 方 , 因 为 贸易 双方 的 密 钥 相同 。 另 外 ,对 称 加 密 系 统 仅 能 用 于 对 数据 
进行 加 解密 处 理 , 提 供 数据 的 机 密 性 ,而 不 能 用 于 数字 签名 。 因 而 人 们 迫切 需要 寻找 新 的 密 
码 体制 。 

对 称 密码 系统 的 安全 性 依赖 于 以 下 两 个 因素 。 

(1) 加 密 算法 必须 是 足够 强 的 ,仅仅 基于 密 文 本 身 去 解密 信息 在 实践 上 是 不 可 能 的 。 

(2) 加 密 方法 的 安全 性 依赖 于 密 钥 的 秘密 性 ,而 不 是 算法 的 秘密 性 ,因此 ,没有 必要 确 
保 算 法 的 秘密 性 ,而 需要 保证 密 钥 的 秘密 性 。 

对 称 密码 体制 的 优点 是 : 对 称 加 密 算法 使 用 起 来 简单 快捷 , 密 钥 较 短 , 且 破译 困难 。 

该 方法 的 缺点 如 下 : 

(1) 密 钥 难以 安全 传送 。 

(2) 密 钥 量 太 大 ,难以 进行 管理 。 

(3) 无 法 满足 互 不 相识 的 人 进行 私人 谈话 时 的 保密 要 求 。 

(4) 难以 解决 数字 签名 验证 的 问题 。 


2. 非 对 称 密 钥 加 密 系统 


非 对 称 密 钥 密 码 体系 (Asymmetric Cryptography) 也 称 公开 密 钥 技 术 。 该 系统 需要 两 
个 密 钥 : 公开 密 钥 (public key) 和 私有 密 钥 (private key)。 与 对 称 密 钥 密码 体系 相 比 , 非 对 
称 密 钥 密 码 体系 最 大 的 特点 在 于 加 密 和 解密 使 用 不 同 的 密 钥 。 非 对 称 密 钥 技术 模型 如 
图 3.5 所 示 。 


公 铀 私 钥 
加 密 解密 
原文 加 密 的 原文 原文 


图 35 非 对 称 密 钥 技术 


非 对 称 密 钥 技术 的 优点 是 : 易于 实现 ,使 用 灵活 , 密 钥 较 少 。 其 缺点 在 于 : 要 取得 较 好 
的 加 密 效果 和 强度 ,必须 使 用 较 长 的 密 钥 。 

公开 密 钥 的 算法 大 多 基于 计算 复杂 度 较 高 的 数学 难题 ,通常 来 自 数论 。 例 如 ,RSA 源 
于 整数 因子 分 解 问题 ,DSA 源 于 离散 对 数 问题 。 近 年 发 展 快速 的 椭圆 曲线 密码 学 则 基于 与 
椭圆 曲线 相关 的 数学 难题 ,与 离散 对 数 相 当 。 由 于 这 些 底层 的 问题 多 涉及 模 数 乘法 或 指数 
运算 ,相对 于 分 组 密码 需要 更 多 计算 资源 。 因 此 ,公开 密 钥 系统 通常 是 复合 式 的 ,内 含 一 个 
高 效率 的 对 称 密 钥 算法 ,用 以 加 密 信息 ,再 以 公开 密 钥 加 密 对 称 密 钥 系统 所 使 用 的 密 钥 , 以 

在 对 称 密 钥 密码 体系 中 ,加 密 和 解密 使 用 相同 的 密 钥 , 也 许 对 不 同 的 信息 使 用 不 同 的 密 
钥 , 但 都 面临 密 钥 管 理 的 难题 。 由 于 每 对 通信 方 都 必须 使 用 异 于 他 组 的 密 钥 , 当 网 络 成 员 的 
数量 增加 时 , 密 钥 数量 成 二 次 方 增加 。 更 尴 众 的 难题 是 : 当 双方 没有 安全 的 通道 时 ,如 何 建 
立 一 个 共有 的 密 钥 以 利安 全 的 通信 ? 如 果 有 通道 可 以 安全 地 建立 密 钥 ,何不 使 用 现 有 的 通 
道 ? 这 个 “ 鸡 生 和 蛋 、 蛋 生 鸡 ?的 矛盾 是 多 年 以 来 密码 学 无 法 在 真实 世界 应 用 的 阻碍 。 


44 


第 3 章 密码 与 身份 认证 技术 


非 对 称 密码 体制 的 特点 是 : 

(1) 密 钥 分 配 简 单 。 由 于 加 密 密 钥 与 解密 密 钥 不 同 , 且 不 能 由 加 密 密 钥 推导 出 解密 密 
钥 , 因 此 ,加 密 密 钥 表 可 以 像 电话 号 码 本 一 样 分 发 给 各 用 户 ,而 解密 密 钥 则 由 用 户 自己 掌握 。 

(2) 密 钥 的 保存 量 少 。 网 络 中 的 每 一 密码 通信 成 员 只 需 秘 密 保存 自己 的 解密 密 钥 ,n 个 
通信 成 员 只 需 产生 n 对 密 钥 ,便于 密 钥 管 理 。 

(3) 可 以 满足 互 不 相识 的 人 之 间 进 行 私 人 谈话 时 的 保密 性 要 求 。 

(4) 可 以 完成 数字 签名 和 数字 鉴别 。 发 信人 使 用 只 有 自己 知道 的 密 钥 进行 签名 , 收 信 
人 利用 公开 密 钥 进行 检查 , 既 方 便 又 安全 。 

在 实际 应 用 中 , 非 对 称 密 钥 加 密 系统 并 没有 完全 取代 对 称 密 钥 加 密 系统 ,因为 非 对 称 密 
钥 加 密 系统 是 基于 尖端 的 数学 难题 ,计算 非常 复杂 , 它 的 安全 性 更 高 ,但 实现 速度 却 远 远 赶 
不 上 对 称 密 钥 加 密 系统 。 在 实际 应 用 中 可 利用 二 者 的 各 自 优 点 ,采用 对 称 密 钥 加 密 系统 加 
密 文件 ,采用 非 对 称 密 钥 加 密 系统 加 密 “ 加 密 文件 ”的 密 钥 (会 话 密 钥 ), 这 就 是 混合 加 密 
系统 。 

非 对 称 密码 体制 通常 被 用 来 加 密 关 键 性 的 、 核 心 的 机 密 数据 ,而 对 称 密码 体制 通常 被 用 
来 加 密 大 量 的 数据 。 


3. 两 种 加 密 方式 的 比较 
两 种 加 密 方式 的 比较 如 表 3. 1 所 示 。 
表 3.1 两 种 加 密 方式 的 比较 


比较 项 目 “| 代表 标准 密 钥 关系 密 钥 传递 | 数字 签名 | 加 密 速度 | 主要 用 途 
对 称 密 钥 加 密 | DES ”| 加 密 密 钥 与 解密 密 钥 相同 | 不 必要 容易 快 数据 加 密 
数字 签名 、 密 
非 对 称 密 钥 加 密 。 RSA “| 加 密 密 钥 与 解密 密 钥 不 同 | ”必要 困难 慢 钥 分 配 加 密 


3.2 现代 加 密 算法 


现代 采用 的 加 密 算法 有 DES、RSA、SHA 等 。 随 着 对 加 密 强 度 需求 的 不 断 提高 ,近期 又 
出 现 了 AES 和 ECC 等 。 


3.2.1 加 密 算法 


1. 对 称 加 密 算法 


在 对 称 加 密 算法 中 ,只 有 一 个 密 钥 用 来 加 密 和 解密 信息 , 即 加 密 和 解密 采用 相同 的 密 
钥 。 常 用 的 算法 包括 以 下 3 种: 

(1) DES(Data Encryption Standard) : 数据 加 密 标 准 ,速度 较 快 ,适用 于 加 密 大 量 数据 
的 场合 。 

(2) 3DES(Triple DES) : 是 基于 DES 的 变 体 , 对 一 块 数据 用 3 个 不 同 的 密 钥 进行 3 次 
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加 密 ,强度 更 高 。 

(3) AES(Advanced Encryption Standard) : 高 级 加 密 标准 ,是 下 一 代 的 加 密 算法 标准 ， 
速度 快 ,安全 级 别 高 。 

2000 年 10 月 ,NIST( 美 国 国家 标准 和 技术 协会 ) 宣 布 了 从 15 种 候选 算法 中 选 出 的 一 项 
新 的 密 钥 加 密 标 准 ，1999 年 下 半年 由 研究 员 Joan Daemen 和 Vincent Rijmen 创建 的 
Rijndael 密 钥 加 密 标 准 被 选中 ,成 为 将 来 的 AES。AES 正 日 益 成 为 加 密 各 种 形式 的 电子 数 
据 的 实际 标准 。NIST 于 2002 年 5 月 26 日 制定 了 AES 规范 。 

AES 算法 原理 如 下 : AES 算法 基于 排列 和 置换 运算 。 排 列 是 对 数据 重新 进行 安排 , 置 
换 是 将 一 个 数据 单元 替换 为 另 一 个 。AES 使 用 几 种 不 同 的 方法 来 执行 排列 和 置换 运算 。 

AES 是 一 个 迭代 的 、 对 称 密 钥 分 组 的 密码 , 它 可 以 使 用 128、192 和 256 位 密 钥 ,并 且 用 
128 位 (16B) 分 组 加 密 和 解密 数据 。 与 公共 密 钥 密码 使 用 密 钥 对 不 同 , 对 称 密 钥 密码 使 用 相 
同 的 密 钥 加 密 和 解密 数据 。 通 过 分 组 密码 返回 的 加 密 数 据 的 位 数 与 输入 数据 相同 。 和 迭代 加 
密使 用 一 个 循环 结构 ,在 该 循环 中 重复 置换 和 替换 输入 数据 。 

AES 与 3DES 的 比较 如 表 3.2 所 示 。 


表 3.2 AES 与 3DES 的 比较 


解密 时 间 / 亿 年 
算法 名 称 算法 类 型 密 钥 长 度 / 位 速度 (每 秒 尝试 255 个 密 钥 ) 资源 消耗 
AES 对 称 block 密码 128、192、256 高 1 490 000 低 
3DES 对 称 feistel 密码 112、168 低 46 中 
2. 非 对 称 加 密 算法 
常见 的 非 对 称 加 密 算法 如 下 。 
1) RSA 


RSA 算法 由 RSA 公司 发 明 , 是 一 个 支持 变 长 密 钥 的 公共 密 钥 算 法 ,需要 加 密 的 文件 块 
的 长 度 也 是 可 变 的 。 

1976 年 ,由 于 对 称 加 密 算法 已 经 不 能 满足 需要 ,Diffie 和 Hellman 发 表 了 一 篇 名 为 《 密 
码 学 新 动向 ) 的 文章 ,介绍 了 公 钥 加 密 的 概念 。 

RSA 算法 是 1978 年 由 Ron Rivest, Adi Shamir 和 Leonard Adleman 发 明 的 ,所 以 该 算 
法 以 3 个 发 明 者 名 字 的 首 字母 命名 为 RSA。RSA 是 第 一 个 既 能 用 于 数据 加 密 也 能 用 于 数 
字 签 名 的 算法 。 但 RSA 的 安全 性 一 直 未 能 得 到 理论 上 的 证 明 。 

RSA 的 安全 性 依赖 于 大 数 分 解 。 公 钥 和 私 钥 都 是 两 个 大 素数 (大 于 100 个 十 进 制 位 ) 
的 函数 。 据 猜测 ,从 一 个 密 钥 和 密 文 推断 出 明文 的 难度 等 同 于 分 解 两 个 大 素数 的 积 。 

简 言 之 , 找 两 个 很 大 的 质数 ,一 个 作为 公 钥 公开 ,一 个 作为 私 钥 不 告诉 任何 人 。 这 两 个 
密 钥 是 互补 的 , 即 用 公 钥 加 密 的 密 文 可 以 用 私 钥 解密 , 反 过 来 也 可 以 。 

2) DSA(Digital Signature Algorithm ,数字 签名 算法 ) 

DSA 是 一 种 标准 的 DSS( 数 字 签 名 标准 ) 。 

除了 加 密 外 ,公开 密 钥 密 码 学 最 显著 的 成 就 是 实现 了 数字 签名 。 数 字 签名 是 普通 签 章 
的 数字 化 ,他 们 的 特性 都 是 某 人 可 以 轻易 制造 签 章 ,但 他 人 却 难以 仿冒 。 数 字 签名 可 以 永久 
地 与 被 签署 信息 结合 ,无 法 从 信息 上 移 除 。 
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数字 签名 大 致 包含 两 个 算法 : 一 个 是 签署 ,使 用 私密 密 钥 处 理 信息 或 信息 的 杂凑 值 而 
产生 签 章 ; 另 一 个 是 验证 ,使 用 公开 密 钥 验 证 签 章 的 真实 性 。RSA 和 DSA 是 两 种 最 流行 的 
数字 签名 机 制 。 数 字 签 名 是 公开 密 钥 基础 建设 以 及 许多 网 络 安全 机 制 的 基础 。 

3) ECC(Elliptic Curves Cryptography ,椭圆 曲线 密码 编码 学 ) 

随 着 分 解 大 整数 方法 的 进步 及 完善 .计算 机 速度 的 提高 以 及 计算 机 网 络 的 发 展 , 为 了 保 
障 数据 的 安全 ,RSA 的 密 钥 需要 不 断 增 加 ,但 是 , 密 钥 长 度 的 增加 导致 了 其 加 解密 的 速度 大 
为 降低 ,硬件 实现 也 变 得 越 来 越 复杂 ,这 对 RSA 的 应 用 带 来 了 很 重 的 负担 ,因此 需要 一 种 新 
的 算法 来 代替 RSA。 

1985 年 N. Koblitz 和 Miller 提出 将 椭圆 曲线 用 于 密码 算法 ,其 依据 是 有 限 域 上 的 椭圆 
曲线 上 的 点 群 中 的 离散 对 数 问题 ECDLP。ECDLP 是 比 因子 分 解 问题 更 难 的 问题 , 它 是 指 
数 级 的 难度 。 

其 基本 原理 如 下 : 

基于 椭圆 曲线 上 的 难题 一 一 椭圆 曲线 上 离散 对 数 问题 ,将 椭圆 曲线 中 的 加 法 运算 与 离 
散 对 数 中 的 模 乘 运算 相对 应 ,将 椭圆 曲线 中 的 乘法 运算 与 离散 对 数 中 的 模 舌 运 算 相 对 应 ,就 
可 以 建立 基于 椭圆 曲线 的 对 应 的 密码 体制 。 

ECC 和 RSA 相 比 ,在 许多 方面 都 有 绝对 的 优势 ,主要 体现 在 以 下 方面 : 

(1) 抗 攻 击 性 强 。 相 同 的 密 钥 长 度 , 其 抗 攻 击 性 要 强 很 多 售 。 

(2) 计算 量 小 ,处 理 速度 快 。ECC 总 的 速度 比 RSA 和 DSA 要 快 得 多 。 

(3) 存储 空间 占用 小 。ECC 的 密 钥 尺寸 和 系统 参数 与 RSA、DSA 相 比 要 小 得 多 ,意味 
着 它 所 占 的 存储 空间 要 小 得 多 。 这 对 于 加 密 算 法 在 IC 卡 上 的 应 用 具有 特别 重要 的 意义 。 

(4) 带宽 要 求 低 。 当 对 长 消息 进行 加 解密 时 ,3 类 密码 系统 有 相同 的 带宽 要 求 , 但 应 用 
于 短 消息 时 ECC 带宽 要 求 却 低 得 多 。 带 宽 要 求 低 使 ECC 在 无 线 网 络 领域 具有 广泛 的 应 用 
前 景 。 

ECC 的 这 些 特点 使 它 必 将 取代 RSA ,成 为 通用 的 公 钥 加 密 算 法 。 例 如 ,SET 协议 的 制 
定 者 已 把 它 作 为 下 一 代 SET 协议 中 默认 的 公 钥 密码 算法 。 

表 3.3 和 表 3.4 是 RSA 和 ECC 的 安全 性 和 速度 的 比较 。 


表 3.3 RSA 和 ECC 的 安全 性 比较 


攻破 时 间 / |RSA/DSA 密 | ECC 密 钥 | RSA/ECC | 攻破 时 间 / |RSA/DSA 密 | ECC 密 钥 | RSA/ECC 
MIPS 年 | 钥 长 度 /位 | 长 度 /位 | 密 钥 长 度 比 | MIPS 年 | 钥 长 度 /位 | 长 度 / 位 | 密 钥 长 度 比 


10 512 106 5:1 10 2048 210 10:1 


10 768 132 6:1 10 21 000 600 35:1 


10 1024 160 7:1 


4) 散 列 算法 (hash 算法 ) 

散 列 算法 也 叫 哈 希 算法 ,英文 是 hash, 就 是 把 任意 长 度 的 输入 (又 叫做 预 映 射 ，pre- 
image) 通 过 散 列 算法 变换 成 固定 长 度 的 输出 ,该 输出 就 是 散 列 值 。 这 种 转换 是 一 种 压缩 映 
射 , 也 就 是 说 , 散 列 值 的 空间 通常 远 小 于 输入 的 空间 ,不 同 的 输入 可 能 会 散 列 成 相同 的 输出 ， 
而 不 可 能 从 散 列 值 来 唯一 地 确定 输入 值 。 简 单 地 说 就 是 一 种 将 任意 长 度 的 消息 压缩 到 某 一 
固定 长 度 的 消息 摘要 的 函数 。 
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表 3.4 RSA 和 ECC 的 速度 比较 


功 能 Security Builder 1.2 BSAFE 3.0 
163 位 ECCCms) 1023 位 RSACms) 
密 钥 对 生成 3.8 4708. 3 
签名 2.1(ECNRA) 228.4 
3.0(ECDSA) 
认证 9. 9(ECNRA) 1 
10.7(ECDSA) 
Diffie-Hellman 密 钥 交 换 1 1654.0 


hash 算法 主要 用 于 信息 安全 领域 中 的 加 密 算法 , 它 把 一 些 不 同 长 度 的 信息 转化 成 杂乱 
的 128 位 的 编码 ,这 些 编码 值 叫 做 hash 值 。 也 可 以 说 ,hash 就 是 找到 一 种 数据 内 容 和 数据 
存放 地 址 之 间 的 映射 关系 。 散 列 是 信息 的 提炼 ,通常 其 长 度 要 比 信息 小 得 多 , 且 为 一 个 固定 
长 度 。 

加 密 性 强 的 散 列 一 定 是 不 可 逆 的 ,这 就 意味 着 通过 散 列 结果 无 法 推出 任何 部 分 的 原始 
信息 。 任 何 输入 信息 的 变化 ,哪怕 仅 一 位 ,都 将 导致 散 列 结果 的 明显 变化 ,这 称 为 雪崩 效应 。 
散 列 还 应 该 是 防 冲 突 的 , 即 找 不 出 具有 相同 散 列 结果 的 两 条 信息 。 具 有 这 些 特性 的 散 列 结 
果 就 可 以 用 于 验证 信息 是 否 被 修改 。 

单 向 散 列 函数 一 般 用 于 产生 消息 摘要 和 密 钥 加 密 等 ,常见 的 有 以 下 两 种 。 

(1) MD5(Message Digest Algorithm 5, 信 息 摘要 算法 第 5 版 ): 是 RSA 数据 安全 公司 
开发 的 一 种 单 向 散 列 算法 。 

(2) SHA(Secure Hash Algorithm, 安 全 散 列 算法 ): 可 以 对 任意 长 度 的 数据 进行 运算 
生成 一 个 160 位 的 数值 。 

在 1993 年 ,安全 散 列 算法 (SHA) 由 NIST 提出 ,并 作为 联邦 信息 处 理 标 准 (FIPS PUB 
180) 公 布 。1995 年 又 发 布 了 一 个 修订 版 FIPS PUB 180-1, 通 常 称 为 SHA-1。SHA-1 是 基 
于 MD4 算法 的 ,并 且 它 的 设计 在 很 大 程度 上 是 模仿 MD4 的 。 现 在 它 已 成 为 公认 的 最 安全 
的 散 列 算法 之 一 ,并 被 广泛 使 用 。 

SHA-1 算法 的 原理 如 下 : 

SHA-1 是 一 种 数据 加 密 算法 ,该 算法 的 思想 是 接收 一 段 明文 ,然后 以 一 种 不 可 逆 的 方 
式 将 它 转换 成 一 段 (通常 更 小 的 ) 密 文 ,也 可 以 简单 地 理解 为 取 一 串 输 入 码 ( 称 为 预 映 射 或 信 
息 ) ,并 把 它们 转化 为 长 度 较 短 .位 数 固定 的 输出 序列 , 即 散 列 值 ( 也 称 为 信息 摘要 或 信息 认 
证 代码 ) 的 过 程 。 

单 向 散 列 函数 的 安全 性 在 于 其 产生 散 列 值 的 操作 过 程 具有 较 强 的 单 向 性 。 如 果 在 输入 
序列 中 嵌入 密码 ,那么 任何 人 在 不 知道 密码 的 情况 下 都 不 能 产生 正确 的 散 列 值 ,从 而 保证 了 
其 安全 性 。SHA 将 输入 流 按照 每 块 512 位 (64B) 进 行 分 块 , 并 产生 20B 的 称 为 信息 认证 代 
码 或 信息 摘要 的 输出 。 

该 算法 输入 报 文 的 最 大 长 度 不 超过 264 位 ,产生 的 输出 是 一 个 160 位 的 报 文摘 要 。 输 
入 是 按 512 位 的 分 组 进行 处 理 的 。SHA-1 是 不 可 逆 的 , 防 冲突 ,并 具有 良好 的 雪崩 效应 。 

通过 散 列 算法 可 实现 数字 签名 。 数 字 签 名 的 原理 是 将 要 传送 的 明文 通过 一 种 函数 运算 
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Chash) 转 换 成 报 文摘 要 (不 同 的 明文 对 应 不 同 的 报 文摘 要 ) , 报 文摘 要 加 密 后 与 明文 一 起 传 
送 给 接收 方 ,接收 方 将 接收 的 明文 产生 新 的 报 文 摘要 与 发 送 方 的 发 来 报 文摘 要 解密 比较 , 比 
较 结 果 一 致 表示 明文 未 被 改动 ,如 果 不 一 致 表示 明文 已 被 自 改 。 

MAC (信息 认证 代码 ) 就 是 一 个 散 列 结果 ,其 中 部 分 输入 信息 是 密码 ,只 有 知道 这 个 密 
码 的 参与 者 才能 再 次 计算 和 验证 MAC 码 的 合法 性 。 

因为 SHA-1 和 MD5 均 由 MD4 导出 ,二 者 彼此 很 相似 。 相 应 地 ,它们 的 强度 和 其 他 特 
性 也 相似 ,但 还 有 以 下 几 点 不 同 。 

(1) 对 强行 供给 的 安全 性 : 最 显著 和 最 重要 的 区 别 是 SHA-1 摘要 比 MD5 摘要 长 
32 位 .使 用 强行 技术 ,产生 任何 一 个 报 文 使 其 摘要 等 于 给 定 报 摘要 的 难度 对 MD5 是 2 数量 
级 的 操作 ,而 对 SHA-1 则 是 2 数量 级 的 操作 。 这 样 ,SHA-1 对 强行 攻击 有 更 大 的 强度 。 

(2) 对 密码 分 析 的 安全 性 : 由 于 MD5 的 设计 , 易 受 密码 分 析 的 攻击 ,SHA-1 则 不 易 受 
这 样 的 攻击 。 

(3) 速度 : 在 相同 的 硬件 上 ,SHA-1 的 运行 速度 比 MD5 慢 。 


3.2.2 加 密 算法 的 选择 与 应 用 


1. 对 称 与 非 对 称 算法 比较 


以 上 综述 了 两 种 加 密 方法 的 原理 ,总 体 来 说 两 者 主要 有 下 面 几 个 方面 的 不 同 。 

1) 管理 方面 

公 钥 密码 算法 只 需要 较 少 的 资源 就 可 以 实现 目的 ,在 密 钥 的 分 配 上 ,两 者 之 间 相差 一 个 
指数 级 别 (一 个 是 2 一 个 是 妈 )。 所 以 私 钥 密码 算法 不 适 于 广域网 的 使 用 ,更 重要 的 一 点 是 
它 不 支持 数字 签名 。 

2) 安全 方面 

公 钥 密码 算法 基于 未 解决 的 数学 难题 ,在 破解 上 几乎 不 可 能 。 对 于 私 钥 密 码 算法 ,到 了 
AES 虽然 从 理论 来 说 是 不 可 能 破解 的 ,但 从 计算 机 的 发 展 角 度 来 看 , 公 钥 更 具有 优越 性 。 

3) 速度 方面 

AES 的 软件 实现 速度 已 经 达到 了 每 秒 数 兆 或 数 十 兆 比特 。 是 公 钥 的 100 倍 ,如 果 用 硬 
件 来 实现 ,这 个 比值 将 扩大 到 1000 倍 。 


2. 加 密 算法 的 选择 


前 面 已 经 介绍 了 对 称 加 密 算 法 和 非 对 称 加 密 算法 。 在 实际 使 用 中 ,应 该 根据 自己 的 应 
用 需求 来 确定 : 

(1) 由 于 非 对 称 加 密 算 法 的 运行 速度 比 对 称 加 密 算 法 的 速度 慢 很 多 , 当 需 要 加 密 大 量 
的 数据 时 ,建议 采用 对 称 加 密 算法 ,以 提高 加 解密 速度 。 

(2) 对 称 加 密 算法 不 能 实现 签名 ,因此 签名 只 能 使 用 非 对 称 算法 。 

(3) 由 于 对 称 加 密 算法 的 密 钥 管理 是 一 个 复杂 的 过 程 , 密 钥 的 管理 直接 决定 安全 性 , 因 
此 当 数据 量 很 小 时 ,可 以 考虑 采用 非 对 称 加密 算 法 。 

在 实际 的 操作 过 程 中 ,通常 采用 非 对 称 加 密 算法 管理 对 称 算法 的 密 钥 ,然后 用 对 称 加 密 
算法 加 密 数据 ,这 样 就 集成 了 两 类 加 密 算 法 的 优点 , 既 体现 了 加 密 速度 快 的 优点 ,又 体现 了 
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安全 方便 管理 密 钥 的 优点 。 

在 选 定 了 加 密 算法 后 ,应 该 采用 多 少 位 的 密 钥 呢 ? 一 般 来 说 , 密 钥 越 长 ,运行 的 速度 就 
越 慢 ,应 该 根据 实际 需要 的 安全 级 别 来 选择 。RSA 建议 采用 1024 位 的 数字 ,ECC 建议 采用 
160 位 ,AES 采用 128 位 即 可 。 


3. 密码 学 在 现代 的 应 用 


随 着 密码 学 商业 应 用 的 普及 , 公 钥 密码 学 受到 前 所 未 有 的 重视 。 除 传统 的 密码 应 用 系 
统 外 ,PKI 系 统 以 公 钥 密码 技术 为 主 , 提 供 加 密 、 签 名 .认证 、 密 钥 管理 和 分 配 等 功能 。 

1) 保密 通信 

保密 通信 是 密码 学 产生 的 动因 。 使 用 公私 钥 密码 体制 进行 保密 通信 时 ,信息 接收 者 只 
有 知道 对 应 的 密 钥 才 可 以 解密 该 信息 。 

2) 数字 签名 

数字 签名 技术 可 以 代替 传统 的 手写 签名 ,而 且 从 安全 的 角度 考虑 ,数字 签名 具有 很 好 的 
防伪 造 功能 。 它 在 政府 机 关 、 军 事 领 域 和 商业 领域 有 广泛 的 应 用 环境 。 

3) 秘密 共享 

秘密 共享 技术 是 指 将 一 个 秘密 信息 利用 密码 技术 分 拆 成 n 个 称 为 共享 因子 的 信息 ,分 
发 给 nn 个 成 员 , 只 有 k(k 二 ) 个 合法 成 员 的 共享 因子 才 可 以 恢复 该 秘密 信息 ,其 中 任何 一 个 
或 mlm 三) 个 成 员 合作 都 不 知道 该 秘密 信息 。 利 用 秘密 共享 技术 可 以 控制 任何 需要 多 个 
人 共同 控制 的 秘密 信息 或 命令 等 。 

4) 认证 功能 

在 公开 的 信道 上 进行 敏感 信息 的 传输 ,采用 签名 技术 实现 对 消息 的 真实 性 和 完整 性 进 
行 验证 ,通过 验证 公 钥 证 书 实现 对 通信 主体 的 身份 验证 。 

5) 密 钥 管理 

密 钥 是 保密 系统 中 更 为 脆弱 而 重要 的 环节 , 公 钥 密码 体制 是 解决 密 钥 管 理工 作 的 有 力 
工具 。 利 用 公 钥 密码 体制 进行 密 钥 协商 和 产生 ,保密 通信 双方 不 需要 事先 共享 秘密 信息 。 
利用 公 钥 密码 体制 进行 密 钥 分 发 ,保护 、 密 钥 托 管 和 密 钥 恢复 等 。 

基于 公 钥 密码 体制 除 可 以 实现 以 上 通用 功能 以 外 ,还 可 以 设计 实现 以 下 的 系统 : 安全 
电子 商务 系统 、 电 子 现金 系统 、 电 子 选举 系统 、 电 子 招 投标 系统 和 电子 彩票 系统 等 。 

公 钥 密码 体制 的 产生 是 密码 学 由 传统 的 政府 和 军事 等 应 用 领域 走向 商用 、 民 用 的 基础 ， 
同时 互联 网 和 电子 商务 的 发 展 为 密码 学 的 发 展开 辟 了 更 为 广阔 的 前 景 。 


4. 加 密 算法 的 未 来 


随 着 计算 方法 的 改进 、 计 算 机 运行 速度 的 加 快 和 网 络 的 发 展 , 越 来 越 多 的 算法 被 破解 。 

历史 上 有 3 次 对 DES 有 影响 的 攻击 实验 。1997 年 ,利用 当时 各 国 7 万 台 计算 机 ,历时 
96 天 破解 了 DES 的 密 钥 。1998 年 ,电子 边境 基金 会 (EFF) 用 25 万 美元 制造 的 专用 计算 机 
历时 56 小 时 破解 了 DES 的 密 钥 。1999 年 ,EFF 用 22 小 时 15 分 完成 了 破解 工作 。 因 此 , 曾 
经 有 过 卓越 贡献 的 DES 也 不 能 满足 日 益 增 长 的 需求 了 。 

最 近 ,一 组 研究 人 员 成 功 地 把 一 个 512 位 的 整数 分 解 因子 ,宣告 了 RSA 的 破解 。 

数据 的 安全 是 相对 的 ,可 以 说 在 一 定时 期 一 定 条 件 下 是 安全 的 , 随 着 硬件 和 网 络 的 发 
展 ,目前 的 常用 加 密 算法 都 有 可 能 在 短 时 间 内 被 破解 , 那 时 不 得 不 使 用 更 长 的 密 钥 或 更 加 先 
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进 的 算法 ,才能 保证 数据 的 安全 。 因 此 加 密 算法 依然 需要 不 断 发 展 和 完善 ,提供 更 高 的 加 密 
安全 强度 和 运算 速度 。 
纵 观 这 两 种 算法 ,一 个 从 DES 到 3DES 再 到 AES, 一 个 从 RSA 到 ECC。 其 发 展 角度 无 
不 是 从 密 钥 的 简单 性 \ 成 本 的 低廉 性 ,管理 的 简易 性 ,算法 的 复杂 性 ,保密 的 安全 性 以 及 计算 
的 快速 性 这 几 个 方面 去 考虑 。 因 此 ,未 来 算法 的 发 展 也 必定 是 从 这 几 个 角度 出 发 的 ,而 且 在 
实际 操作 中 往往 把 这 两 种 算法 结合 起 来 。 也 许 将 来 一 种 集 两 种 算法 优点 于 一 身 的 新 型 算法 
会 出 现 ,到 那个 时 候 , 物 联网 各 项 应 用 的 实现 必 将 更 加 快捷 和 安全 。 


3.3 对称 密 码 技术 


3.3.1 对 称 密码 技术 简介 


最 古老 的 加 密 方法 已 经 用 了 几 千 年 ,这 种 方法 被 称 为 密 钥 或 对 称 加 密 。 在 这 种 方法 中 ， 
同一 密 钥 既 用 于 加 密 明 文 ,也 用 于 解密 密 文 。 

密 钥 使 用 的 机 制 可 能 非常 多 样 化 ,但 它们 共同 的 弱点 是 : 因为 需要 共享 密 钥 ,所 以 一 旦 
密 钥 落 入 坏人 之 手 将 很 危险 。 一 旦 未 经 授权 的 人 得 知 了 密 钥 ,就 会 危及 基于 该 密 钥 的 安全 
性 。 如 果 只 涉及 一 条 消息 ,可 能 不 要 紧 ; 但 是 ,电子 通信 的 真正 本 质 就 意味 着 : 同一 个 密 钥 
很 可 能 被 重复 使 用 ,而 未 必 知 道 密 钥 已 不 再 是 保密 的 。 

这 种 简单 方案 的 变 体 涉 及 使 用 一 个 任意 排序 的 字母 表 . 它 和 用 于 明文 消息 的 字母 表 有 
同样 的 长 度 。 在 这 种 情况 下 , 密 钥 可 能 是 由 数字 组 成 的 一 个 长 序列 ,例如 : 5,19,1,2， 
Ye 表明 A 应 该 映射 为 E,B 为 S,C 为 A,D 为 B.E 为 ,等 等 ,这 些 方案 包含 的 字母 ( 假 
定 ) 是 从 特定 小 说 的 句子 中 选取 的 。 当 然 , 这 样 的 系统 是 极其 脆弱 的 ,而 现代 的 系统 则 使 用 
基于 难 解 的 数学 问题 的 复杂 算法 ,因而 使 系统 极其 强壮 。 

对 于 一 个 查看 用 对 称 密码 加 密 的 数据 的 人 来 说 ,如 果 对 用 于 加 密 数据 的 密 钥 根 本 没有 
访问 权 , 那 么 他 完全 不 可 能 查看 加 密 数据 。 如 果 这 样 的 秘 钥 落 入 坏人 之 手 , 那 么 就 会 马上 彻 
底 地 危及 使 用 该 密 钥 加 密 的 数据 的 安全 性 。 因 此 ,使 用 密 钥 方法 的 这 个 组 中 的 所 有 系统 所 
共享 的 内 容 是 密 钥 管理 的 难点 。 


1. 密 钥 长 度 


通常 提 到 的 密 钥 都 有 特定 的 位 长 度 , 如 56 位 或 128 位 。 这 些 长 度 都 是 对 称 密 钥 密码 的 
长 度 ,而 非 对 称 密 钥 密码 中 至 少 私有 元 素 的 密 钥 长 度 是 相当 长 的 。 而 且 , 这 两 组 密 钥 长 度 之 
间 没 有 任何 相关 性 ,除非 偶尔 在 使 用 某 一 给 定 系统 的 情况 下 ,达到 某 一 给 定 密 钥 长 度 提供 的 
安全 性 级 别 。 

在 任何 特定 组 中 ,所 用 密 钥 的 长 度 通常 是 确定 安全 性 时 的 一 个 重要 因素 。 而 且 , 密 钥 长 
度 并 不 是 线性 的 ,而 是 每 增加 一 位 就 加 倍 。2 的 二 次 方 是 4, 三 次 方 是 8, 四 次 方 是 16, 以 此 
类 推 。Giga Group 提供 一 个 简单 的 比喻 : 如 果 一 个 茶匙 足够 容纳 所 有 可 能 的 40 位 的 密 钥 
组 合 ,那么 所 有 56 位 的 密 钥 组 合 需要 一 个 游泳 池 来 容纳 ,而 容纳 所 有 可 能 的 128 位 的 密 钥 组 合 
的 体积 将 会 粗略 地 与 地 球 的 体积 相当 。 一 个 用 十 进 制 表示 的 128 位 的 值 大 概 是 3. 40X10”。 
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2. 加 密 速度 


对 称 密 钥 方法 比 非 对 称 方法 快 得 多 ,因此 加 密 大 量 文本 时 ,对 称 密 钥 方 法 是 首选 机 制 。 
诸如 DES 的 密码 在 软件 中 至 少 比 非 对 称 密码 RSA 快 100 倍 , 而 且 在 专门 的 硬件 上 实现 时 
可 能 高 达 10 000 倍 。 密 钥 密 码 最 适合 用 于 在 单 用 户 或 小 型 组 的 环境 中 保护 数据 ,通常 都 是 
通过 使 用 密码 实现 。 实 际 上 ,正如 在 别处 已 提 到 的 , 广 为 散 布 或 大 规模 实际 使 用 的 最 令 人 满 
意 的 方法 往往 都 同时 组 合 了 对 称 和 非 对 称 系统 。 


3. 对 称 密 钥 密码 的 类 型 


现在 ,通常 使 用 分 组 密码 (block cipher) 或 流 密码 /序列 密码 (stream cipher) 实 现 对 称 密 
码 。 下 面 讨论 这 两 种 密码 。 

1) 分 组 密码 (block cipher) 

根据 “电码 本 密码 ”获得 ,其 特点 是 : 

(1) 分 组 密码 密 钥 决定 电码 本 。 

(2) 每 个 密 钥 生 成 一 个 不 同 的 电码 本 。 

(3) 混淆 和 扩散 都 得 到 利用 。 

2) 流 密码 /序列 密码 (stream ciphers) 

根据 “一 次 一 密 ? 获 得 ,其 特点 是 : 

(1) 密 钥 相对 较 短 。 

(2) 密 钥 被 扩展 为 更 长 的 密 钥 流 (keystream) 。 

(3) keystream 被 用 做 一 次 一 密 的 密 钥 。 

(4) 只 用 到 了 混淆 。 


3.3.2 分 组 密码 
分 组 密码 将 定 长 的 明文 块 转换 成 等 长 的 密 文 ,这 一 过 程 在 密 钥 的 控制 之 下 。 使 用 逆向 


变换 和 同一 密 钥 来 实现 解密 。 对 于 当前 的 许多 分 组 密码 ,分 组 大 小 是 64 位 ,但 这 很 可 能 会 
增加 。 分 组 密码 的 基本 模型 如 图 3.6 所 示 。 


密 钥 K 密 钥 K 


加 密 


明文 | | | 明文 X 


图 36 分 组 密码 的 基本 模型 


明文 消息 通常 要 比特 定 的 分 组 大 小 长 得 多 ,而 且 使 用 不 同 的 技术 或 操作 方式 。 这 样 的 
方式 示例 有 电子 编码 本 (ECB) 密码 分 组 链接 (CBC) 或 密码 反馈 (CFB)。 

(1) ECB 使 用 同一 个 密 钥 简单 地 将 每 个 明文 块 一 个 接 一 个 地 进行 加 密 。 

(2) 在 CBC 方式 中 ,每 个 明文 块 在 加 密 前 先 与 前 一 密 文 块 进行 “ 异 或 "运算 ,从 而 增加 
了 复杂 程度 ,可 以 使 某 些 攻击 更 难以 实施 。 

(3)“ 输 出 反馈 ”方式 (OFB) 类 似 CBC 方式 ,但 是 进行 “ 异 或 ”的 量 是 独立 生成 的 。 
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CBC 受到 广泛 使 用 ,例如 在 DES(qv) 实 现 中 。 在 有 关 密 码 术 的 技术 性 方面 的 相应 书籍 
中 深入 讨论 了 各 种 方式 。 请 注意 : 用 户 自己 建立 的 密码 系统 的 普遍 弱点 就 是 以 简单 的 形式 
来 使 用 某 些 公开 的 算法 ,而 不 是 以 提供 了 额外 保护 的 特定 方式 使 用 。 

和 迭代 的 分 组 密码 是 那些 其 加 密 过 程 有 多 次 循环 的 密码 ,因此 提高 了 安全 性 。 在 每 个 循 
环 中 ,可 以 通过 使 用 特殊 的 函数 从 初始 密 钥 派生 出 的 子 密 钥 来 应 用 适当 的 变换 。 该 附加 的 
计算 需求 必然 会 影响 可 以 管理 加 密 的 速度 ,因此 在 安全 性 需要 和 执行 速度 之 间 存 在 着 一 种 
平衡 。 

天 下 没有 免费 的 午餐 ,密码 术 也 是 如 此 ;与 其 他 地 方 一 样 ,应 用 适当 方法 的 技巧 中 有 一 
部 分 是 源 于 对 需要 进行 的 权衡 以 及 如 何 理 解 它们 与 需求 平衡 的 关系 。 

分 组 密码 包括 DES、IDEA 、SAFER、Blowfish 和 Skipjack, 最 后 一 个 是 美国 国家 安全 局 
(US National Security Agency, NSA) 限 制 器 芯片 中 使 用 的 算法 。 


3.3.3 序列 密码 


与 分 组 密码 相 比 ,序列 密码 可 以 非常 快速 有 效 地 运作 。 序 列 密码 作 用 于 由 若干 位 组 成 
的 一 些小 型 组 ,通常 使 用 称 为 密 钥 流 的 一 个 位 序列 作为 密 钥 对 它们 逐 位 应 用 * 异 或 ?运算 。 
有 些 序列 密码 基于 一 种 称 作 线形 反馈 移 位 寄存 器 (Linear Feedback Shift Register, LFSR) 
的 机 制 , 该 机 制 生 成 一 个 二 进 制 位 序列 。 

序列 密码 是 由 一 种 专业 的 密码 一 一 Vernam 密码 (也 称 为 一 次 性 密码 本 (one-time 
pad)) ,发 展 而 来 的 。 序 列 密码 的 示例 包括 RC4 和 软件 优化 加 密 算法 (Software Optimized 
Encryption Algorithm,SEAL) ,以 及 Vernam 密码 或 一 次 性 密码 本 的 特殊 情形 。 


3.3.4 对 称 密码 的 算法 


1. 数据 加 密 标准 


数据 加 密 算 法 (Data Encryption Algorithm. DEA) 的 数据 加 密 标准 (Data Encryption 
Standard,DES) 是 规范 的 描述 , 它 出 自 IBM 的 研究 工作 ,并 在 1997 年 被 美国 政府 正式 采纳 。 
它 很 可 能 是 使 用 最 广泛 的 密 钥 系统 ,特别 是 在 保护 金融 数据 的 安全 中 ,最 初 开发 的 DES 是 
嵌入 硬件 中 的 。 通 常 ,自动 取款 机 (Automated Teller Machine,ATM) 都 使 用 DES。 

DES 使 用 一 个 56 位 的 密 钥 以 及 附加 的 8 位 奇偶 校 验 位 ,产生 最 大 64 位 的 分 组 。 这 是 
一 个 迭代 的 分 组 密码 ,使 用 称 为 Feistel 的 技术 ,其 中 将 加 密 的 文本 块 分 成 两 半 。 使 用 子 密 
钥 对 其 中 一 半 应 用 循环 功能 ,然后 将 输出 与 男 一 半 进 行 “ 异 或 "运算 ;接着 交换 这 两 半 , 这 一 
过 程 会 继续 下 去 ,但 最 后 一 个 循环 不 交换 。DES 使 用 16 个 循环 。 

攻击 DES 的 主要 形式 被 称 为 蛮 力 的 或 彻底 密 钥 搜索 , 即 重复 尝试 各 种 密 钥 直到 有 一 个 
符合 为 止 。 如 果 DES 使 用 56 位 的 密 钥 , 则 可 能 的 密 钥 数量 是 2* 个 。 随 着 计算 机 系统 能 力 
的 不 断 发 展 ,DES 的 安全 性 比 它 刚 出 现时 会 弱 得 多 ,然而 从 非 关 键 性 质 的 实际 出 发 , 仍 可 以 
认为 它 是 足够 安全 的 。 不过, DES 现在 仅 用 于 旧 系 统 的 鉴定 ,而 更 多 地 选择 新 的 加 密 标 
准 一 一 高 级 加 密 标准 (Advanced Encryption Standard,AES) 。 

DES 的 常见 变 体 是 3 DES, 使 用 168 位 的 密 钥 对 资料 进行 3 次 加 密 的 一 种 机 制 ; 它 通常 
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(但 非 始 终 ) 提 供 极其 强大 的 安全 性 。 如 果 3 个 56 位 的 子 元 素 都 相同 , 则 3 DES 向 后 兼 
容 DES。 

IBM 曾 对 DES 拥有 几 年 的 专利 权 , 但 是 在 1983 年 已 到 期 ,并 且 处 于 公有 范围 中 ,允许 
在 特定 条 件 下 可 以 免除 专利 使 用 费 而 使 用 。 


2. 国际 数据 加 密 算法 


国际 数据 加 密 算 法 (International Data Encryption Algorithm,IDEA) 是 由 苏黎世 理工 
学 院 的 两 位 研究 员 Xuejia Lai 和 James L. Massey 开发 的 ,而 一 家 瑞士 公司 Ascom Systec 
拥有 专利 权 。IDEA 是 作为 迭代 的 分 组 密码 实现 的 ,使 用 128 位 的 密 钥 和 8 个 循环 。 这 上 比 
DES 提供 了 更 多 的 安全 性 ,但 是 在 选择 用 于 IDEA 的 密 钥 时 ,应 该 排除 那些 称 为 “ 弱 密 钥 ” 的 
密 钥 。DES 只 有 4 个 弱 密 钥 和 12 个 次 弱 密 钥 , 而 IDEA 中 的 弱 密 钥 数 相当 可 观 , 有 2 个 。 
但 是 ,如 果 密 钥 的 总 数 非常 大 ,达到 2 个 ,那么 仍 有 27 个 密 钥 可 供 选 择 。 

通过 支付 专利 使 用 费 (通常 大 约 是 每 个 副本 6 美元 ) ,可 以 在 全 世界 广泛 使 用 IDEA。 这 
些 费 用 是 在 某 些 区 域 中 适用 ,而 其 他 区 域 并 不 适用 。IDEA 被 认为 是 极为 安全 的 。 使 用 128 
位 的 密 钥 , 蛮 力 攻击 中 需要 进行 的 测试 次 数 与 DES 相 比 会 明显 增 大 ,甚至 允许 对 弱 密 钥 测 
试 。 而 且 , 它 本 身 也 显示 了 它 尤 其 能 抵抗 专业 形式 的 分 析 性 攻击 。 


3. CAST 


CAST 是 以 它 的 设计 者 Nortel 的 Carlisle Adams 和 Stafford Tavares 命名 的 。 它 是 一 
个 64 位 的 Feistel 密码 ,使 用 16 个 循环 并 允许 密 钥 大 小 最 大 可 达 128 位 。 其 中 变 体 CAST- 
256 使 用 128 位 的 分 组 大 小 ,而 且 人 允许 使 用 最 大 256 位 的 密 钥 。 

虽然 CAST 相当 新 ,但 是 它 看 来 对 各 种 攻击 ( 蛮 力 攻击 和 分 析 性 攻击 ) 都 非常 安全 。 虽 
然 非常 快 ,但 是 它 的 主要 优势 是 安全 性 ,而 不 是 速度 。 在 PGP 的 最 新 版 本 及 IBM、Microsoft 
等 厂商 的 产品 中 都 使 用 了 它 。 

Entrust Technologies 拥有 CAST 的 专利 权 ,但 是 据说 在 商业 或 非 商业 应 用 中 ,无 须 支 
付 专利 使 用 费 就 可 以 使 用 它 。 


4. 一 次 性 密码 本 


一 次 性 密码 本 (或 Vernam 密码 ) 具 有 被 认为 是 十 分 安全 的 优点 ,所 以 在 某 些 特殊 情况 
中 (通常 是 在 战争 中 ) 有 很 高 的 应 用 价值 。 它 使 用 完全 与 消息 一 样 长 的 随机 生成 的 密 钥 。 通 
常 使 用 位 的 “ 蜡 或 ”运算 ,将 其 应 用 于 明文 中 ,以 产生 加 密 文本 。 应 用 同一 密 钥 和 适当 的 算 
法 ,可 以 方便 地 解密 消息 。 

一 次 性 密码 本 加 密 和 解密 的 简单 例子 如 下 : 

00101100010…11011100101011 原始 明文 消息 

01110111010…10001011101011 与 消息 长 度 相 等 的 随机 生成 的 密 钥 

01011011000…01010111000000 加 密 后 的 消息 

01110111010…10001011101011 重用 于 解密 的 密 钥 

00101100010…11011100101011 恢复 的 原始 消息 

虽然 一 次 性 密码 本 是 完全 且 绝 对 安全 的 ,但 是 它 常 常 是 不 太 实用 的 ,因为 需要 以 某 种 安 
全 的 方法 将 与 消息 长 度 相 等 的 密 钥 传送 给 接收 方 ,以 允许 解密 。 而 且 , 密 钥 只 使 用 一 次 , 然 


54 


第 3 章 密码 与 身份 认证 技术 


后 就 被 丢弃 ,虽然 这 明显 对 安全 性 有 利 ,但 增加 了 密 钥 管理 问题 。 目 前 可 能 使 用 一 次 性 密码 
本 的 一 个 领域 是 在 MAC 中 。 


5. 高 级 加 密 标准 


如 果 DES 已 经 到 了 它 使 用 寿命 的 尽头 ,预计 高 级 加 密 标准 (AES) 会 代替 DES 作为 新 的 
安全 标准 。 在 1997 年 ,美国 国家 标准 和 技术 协会 (US National Institute of Standards and 
Technology,NIST) 曾 宣布 一 项 竞赛 ,将 15 个 原始 项 减少 到 5 个 。 最 终 的 获胜 者 是 比利时 
的 Joan Daemen 和 Vincent Rijmen 提交 的 一 个 名 为 Rijndael 的 产品 (当前 正在 处 于 大 规模 
试验 和 评估 中 ) 。 

从 技术 上 讲 ,Rijndael 的 结构 复杂 ,而且 有 点 不 同 寻常 , 却 似乎 非常 安全 且 通 用 ,因为 它 
的 执行 速度 很 快 ,十 分 适合 于 现代 需求 (如 智能 卡 ), 而 且 能 够 使 用 的 密 钥 大 小 范围 很 广 。 


3.4 非 对称 密 码 技术 


非 对 称 密码 系统 的 解密 密 钥 与 加 密 密 钥 是 不 同 的 ,一 个 称 为 公开 密 钥 , 另 一 个 称 为 私人 
密 钥 (或 秘密 密 钥 ) ,因此 这 种 密码 体系 也 称 为 公 钥 密码 体系 。 公 钥 密 码 除 可 用 于 加 密 外 ,还 
可 用 于 数字 签名 。《 中 华人 民 共 和 国电 子 签名 法 ) 已 于 2005 年 4 月 1 日 实行 。 


3.4.1 公 钥 密码 算法 概述 


公 钥 密码 系统 体制 采用 了 一 对 密 钥 一 一 公 钥 和 私 钥 ,而 且 很 难 从 公 钥 推导 出 私 钥 。 公 
钥 密码 系统 主要 使 用 RSA 公 钥 密码 算法 。 


1. 公 钥 的 起 源 


公 钥 密码 体制 于 1976 年 由 W. Diffie 和 M. Hellman 提出 ,同时 ,RMerkle 也 独立 提 
出 了 这 一 体制 。 这 种 密码 体制 采用 了 一 对 密 钥 一 一 加 密 密 钥 和 解密 密 钥 ( 且 从 解密 密 钥 推 
出 加 密 密 钥 是 不 可 行 的 ) ,这 一 对 密 钥 中 ,一 个 可 以 公开 ( 称 为 公 钥 ) , 另 一 个 为 用 户 专用 ( 称 
为 私 钥 ) 。 

公开 密 钥 密码 体制 的 产生 主要 是 因为 两 个 方面 的 原因 ,一 是 由 于 常规 密 钥 密 码 体制 的 
密 钥 分 配 (distribution) 问 题 ,二 是 由 于 对 数字 签名 的 需求 。 

公开 密 钥 密 码 体制 算法 的 特点 是 : 使 用 一 个 加 密 算法 E 和 一 个 解密 算法 D, 它 们 彼此 
完全 不 同 ,根据 已 选 定 的 E 和 D, 即 使 已 知 正 的 完整 描述 .也 不 可 能 推导 出 D。 


发 送 者 A B 的 公 钥 


密 文 C 


解密 明文 P 


田 
登 
局 
:3 
入 
汽 
不 
加 


图 37 公开 密 钥 密 码 体制 
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2. 陷 门 单 向 函数 


公 钥 密码 系统 基于 陷 门 单 向 函数 的 概念 。 

单 向 函数 是 易于 计算 但 求 逆 困难 的 函数 ,而 陷 门 单 向 函数 是 在 不 知道 陷 门 信息 情况 下 
求 逆 困 难 ,而 在 知道 陷 门 信息 时 易于 求 逆 的 函数 。 

单 向 陷 门 函 数 是 有 一 个 陷 门 的 一 类 特殊 单 向 函数 。 它 首先 是 一 个 单 向 函数 ,在 一 个 方 
向 上 易于 计算 ,而 反方 向 却 难于 计算 。 但 是 ,如 果 知 道 那个 秘密 陷 门 , 则 也 能 很 容易 在 另 一 
个 方向 计算 这 个 函数 。 即 已 知 zx, 易 于 计算 f(x) ,而 已 知 (zx), 却 难于 计算 zx。 然而 ,一 旦 
给 出 /(zx) 和 一 些 秘密 信息 y, 就 很 容易 计算 +。 在 公开 密 钥 密码 中 ,计算 /(x) 相 当 于 加 密 ， 
陷 门 y 相当 于 私有 密 钥 ,而 利用 陷 门 > 求 fCz) 中 的 工 则 相当 于 解密 。 

在 物质 世界 中 ,这 样 的 例子 是 很 普遍 的 ,如 将 挤 出 的 牙膏 弄 回 管子 里 要 比 把 牙膏 挤 出 来 
困难 得 多 ;燃烧 一 张 纸 要 比 使 它 从 灰 趟 中 再 生 容 易 得 多 ;把 盘子 打 碎 成 数 千 片 碎片 很 容易 ， 
把 所 有 这 些 碎片 再 拼 成 为 一 个 完整 的 盘子 则 很 难 。 

类 似 地 ,将 许多 大 素数 相 乘 要 比 将 其 乘积 因 式 分 解 容 易 得 多 。 数 学 上 有 很 多 函数 看 起 
来 像 单 向 函数 ,我 们 能 够 有 效 地 计算 它们 ,但 至 今 未 找到 有 效 的 求 逆 算 法 。 一 般 把 离散 对 数 
函数 和 RSA 函数 作为 单 向 函数 来 使 用 ,但 是 ,目前 还 没有 严格 的 数学 证 明 表 明 所 谓 这 些 单 
向 函数 真正 难以 求 逆 , 即 单 向 函数 是 否 存 在 还 是 未 知 的 。 

在 密码 学 中 最 常用 的 单 向 函数 有 两 类 ,一 是 公开 密 钥 密码 中 使 用 的 单 向 陷 门 函 数 ,二 是 
消息 摘要 中 使 用 的 单 向 散 列 函数 。 

单 向 函数 不 能 用 作 加 密 。 因 为 用 单 向 函数 加 密 的 信息 是 无 人 能 解 开 的 。 但 可 以 利用 具 
有 陷 门 信息 的 单 向 函数 构造 公开 密 钥 密码 。 


3. 公 钥 密码 系统 应 用 


公 钥 密码 系统 可 用 于 以 下 3 个 方面 。 

1) 通信 保密 

此 时 将 公 钥 作为 加 密 密 钥 , 私 钥 作为 解密 密 钥 ,通信 双方 不 需要 交换 密 钥 就 可 以 实现 保 
密 通信 ,如 图 3.8 所 示 。 


Mike Ted Alice 的 私 钥 
Joy Alice 
Alice 的 公 钥 
明文 输入 ”加 密 算 法 ， 如 RSA 解密 算法 ”明文 输出 


图 38 公 角 密码 系统 应 用 于 通信 保密 


2) 数字 签名 
将 私 钥 作 为 加 密 密 钥 , 公 钥 作为 解密 密 钥 ,可 实现 由 一 个 用 户 对 数据 加 密 而 使 多 个 用 户 
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解读 ,如 图 3.9 所 示 。 


电 Bob 的 私 钥 


| Bob 的 公 钥 


明文 输入 “加密 算法 ， 如 RSA 解密 算法 ”明文 输出 


图 39 公 钥 密码 系统 应 用 于 数字 签名 


3) 密 钥 交换 

通信 双方 交换 会 话 密 钥 ,以 加 密 通 信 双 方 后 续 连 接 所 传输 的 信息 。 每 次 逻辑 连接 使 用 
一 把 新 的 会 话 密 钥 , 用 完 就 丢弃 。 

4. 公开 密 钥 算 法 的 特点 


公开 密 钥 算法 有 如 下 特点 : 
(1) 发 送 者 用 加 密 密 钥 PK 对 明文 X 加 密 后 ,在 接收 者 用 解密 密 钥 SK 解密 , 即 可 恢复 
出 明文 ,或 写 为 
DSK(EPK(X))=X 
解密 密 钥 是 接收 者 专用 的 秘密 密 钥 ,对 其 他 人 都 保密 。 
此 外 ,加 密 和 解密 的 运算 可 以 对 调 , 即 
EPK(DSK(X))=X 
(2) 加 密 密 钥 是 公开 的 ,但 不 能 用 它 来 解密 , 即 
DPK(EPK(X))AX 
(3) 在 计算 机 上 可 以 容易 地 产生 成 对 的 PK 和 SK。 
(4) 从 已 知 的 PK 实际 上 不 可 能 推导 出 SK, 即 从 PK 到 SK 是 “计算 上 不 可 能 的 ”。 
(5) 加 密 和 解密 算法 都 是 公开 的 。 


3.4.2 RSA 算法 


RSA 是 一 种 基于 公 钥 密码 体制 的 优秀 加 密 算法 ,是 1978 年 由 美国 麻 省 理工 学 院 
(MIT) 的 研究 小 组 成 员 李 维 斯 特 (Rivest) 、 沙 米尔 (Shamir) 和 艾 德 曼 (Adleman) 提 出 的 。 

RSA 算法 是 一 种 分 组 密码 体制 算法 , 它 的 保密 强度 是 基于 具有 大 素数 因子 的 合 数 ,其 
因子 分 解 是 困难 的 。 基 于 大 数 分 解 的 难度 如 表 3. 5 所 示 。 

例如 整数 ”的 十 进 制 位 数 达 到 100 位 时 ,进行 因子 分 解 的 运算 次 数 为 2. 3X105 ,平均 
每 微 秒 进行 一 次 计算 ,求解 所 需要 的 时 间 为 74 年 。 而 74 年 后 几乎 现时 所 有 的 资料 都 已 经 
不 具备 保密 的 价值 。 

公 钥 和 私 钥 是 一 对 大 素数 的 函数 . 从 一 个 公 钥 和 密 文中 恢复 出 明文 的 难度 等 价 于 分 解 
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表 3.5 基于 大 数 分 解 的 难度 


整数 的 十 | 因子 分 解 的 | 所 需 计 算 时 间 | 整数 的 十 | 因子 分 解 的 所 需 计 算 时间 
进 制 位 数 运算 次 数 (每 微 秒 一 次 ) 进 制 位 数 运算 次 数 (每 微 秒 一 次 ) 


50 1.4X10™® 3.9 小 时 200 L210 3.8X10? 年 
75 9.0X102 104 天 300 1.5X102 4.0X105 年 
100 2.3X105 74 年 500 1.3X10% 4.2X10” 年 


两 个 大 素数 之 积 。 求 一 对 大 素数 的 乘积 很 容易 ,但 要 对 这 个 乘积 进行 因 式 分 解 则 非常 困难 ， 
如 图 3. 10 所 示 。 因 此 ,可 以 把 一 对 大 素数 的 乘积 公开 作为 公 钥 ,而 把 素数 作为 私 钥 。 


179 181 191 193 197 199 211 223 227 229 


1000 以 内 的 素数 
(部 分 ) 


233 239 241 251 257 263 269 271 277 281 


283 293 307 311 313 317 331 337 347 349 


311 * 709 
=220499 


353 359 367 373 379 383 389 397 401 409 
419 421 431 433 439 443 449 457 461 463 


467 479 487 491 499 503 509 521 523 541 


547 557 563 569 571 577 587 593 599 601 
607 613 617 619 631 641 643 647 653 659 


661 673 677 683 691 701709 719 727 733 pF 
220499=? *? 


739 743 751 757 761 769 773 787 797 809 
811 821 823 827 829 839 853 857 859 863 
877 881 883 887 907 911 919 929 937 941 


947 953 967 971 977 983 991 997 (168 个 ) 


图 310 公开 密 钥 算 法 RSA-1 
公 钥 密码 系统 一 般 都 涉及 数论 的 知识 ,如 素数 、 欧 拉 函 数 和 中 国 剩余 定理 等 。 
1. RSA 加 密 算法 


若 用 整数 X 表示 明文 ,用 整数 了 表示 密 文 (X 和 YY 均 小 于 nn), 则 加 密 和 解密 运算 为 : 
加 密 : Y= Xemodn 
解密 : X= Ydmodn 


2. RSA 密 钥 的 产生 


现在 讨论 RSA 公开 密 钥 密码 体制 中 每 个 参数 是 如 何 选 择 和 计算 的 。 

(1) 计算 n。 

用 户 秘密 地 选择 两 个 大 素数 p 和 9g ,计算 出 nn 二 pg。n 称 为 RSA 算法 的 模 数 。 
(2) 计算 $0n)。 

用 户 再 计算 出 的 欧 拉 函数 $(n) 二 (p 一 1)(g 一 1)。 

(3) 选择 e 作为 加 密 指数 。 

户 从 [1,$(n) 一 1] 中 选择 一 个 与 $(n) 互 素 的 数 e 作 为 公开 的 加 密 指数 。 

4) 计算 a 作为 解密 指数 。 

户 计算 出 满足 下 式 的 a: 


ed 二 1] mod $(n) 
即 
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(ed 一 1) mod $(n)=0 
由 此 推出 
ed 二 + $(n) 十 1 (是 大 于 等 于 1 的 正 整 数 ) 
(5) 得 出 所 需要 的 公开 密 钥 和 秘密 密 钥 : 
公开 密 钥 ( 即 加 密 密 钥 ) PK={e,n} 
秘密 密 钥 ( 即 解密 密 钥 ) SK={d,n} 
其 中 ,pg、$(n) 和 4d 就 是 秘密 的 陷 门 (4 项 并 不 是 相互 独立 的 ) ,这 些 信息 不 可 以 泄露 。 


3. RSA 加 密 消息 


RSA 加 密 消息 m 时 (这 里 假设 m 是 以 十 进 制 表示 的 ) ,首先 将 消息 分 成 大 小 合适 的 数据 
分 组 ,然后 对 分 组 分 别 进行 加 密 。 每 个 分 组 的 大 小 应 该 比 n 小 。 
设 c; 为 明文 分 组 m; 加 密 后 的 密 文 , 则 加 密 公 式 为 
ci 一 mie (mod n) 
解密 时 ,对 每 一 个 密 文 分 组 进行 如 下 运算 


mi=cid (mod n) 
4. RSA 的 加 /解密 过 程 实例 


选 /一 5,q 一 11, 则 
n=pq=55 
$n)=(p—1)(g—1)=40 
明文 空间 为 在 闭 区 间 [1,54] 内 且 不 能 被 5 和 11 整除 的 数 。 如 果 明 文 mw 同 n 不 是 互 为 
素数 ,就 有 可 能 出 现 消息 暴露 的 情况 ,这 样 就 可 能 通过 计算 与 加 密 以 后 的 m 的 最 大 公约 数 
来 分 解 出 n。 
一 个 明文 同 n 有 公约 数 的 概率 小 于 1/p 十 1/g: 因 此 ,对 于 大 的 p 和 g 来 说 ,这 种 概率 是 
非常 小 的 。 选 择 e 二 7, 则 d 二 23。 由 加 /解密 公式 可 以 得 到 加 密 表 如 表 3.6 所 示 。 


表 3.6 加 密 表 

明文 密 文 明文 密 文 明文 密 文 明文 密 文 
1 1 14 9 28 52 42 48 
2 18 16 36 29 39 43 32 
3 42 17 8 31 26 46 51 
4 49 18 17 32 43 47 53 
6 41 19 24 34 34 48 27 
7 28 21 21 36 31 49 14 
8 2 23 12 37 38 51 6 
9 4 24 29 38 47 52 13 

12 23 26 16 39 19 53 37 

13 7 27 3 41 46 54 54 
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5. RSA 密 钥 体制 的 特点 


(1) 密 钥 配 发 十 分 方便 ,用 户 的 公开 密 钥 可 以 像 电 话 本 那样 公开 ,使 用 方便 ,每 个 用 户 
只 需 持 有 一 对 密 钥 即 可 实现 与 网 络 中 任何 一 个 用 户 的 保密 通信 。 

(2) RSA 加 密 原 理 基 于 单 向 函数 ,非法 接收 者 利用 公开 密 钥 不 可 能 在 有 限时 间 内 推算 
出 秘密 密 钥 。 

(3) RSA 在 用 户 确认 和 实现 数字 签名 方面 优 于 现 有 的 其 他 加 密 机 制 。 

RSA 得 到 了 世界 上 的 最 广泛 的 应 用 ,ISO 在 1992 年 颁布 的 国际 标准 X. 509 中 ,将 RSA 
算法 正式 纳入 国际 标准 。 


3.4.3 RSA 在 数字 签名 中 的 运用 


数字 签名 技术 是 公 钥 密码 体制 的 一 种 应 用 。 签 名 者 使 用 自己 的 私 钥 对 签名 明文 的 “ 摘 
要 ”加 密 , 就 生成 了 该 文件 的 数字 签名 。 签 名 者 将 明文 和 数字 签名 一 起 发 送 给 接收 者 ,接收 
者 用 该 签名 者 公布 的 公 钥 来 解 开 数字 签名 ,将 其 与 明文 的 “摘要 ”进行 比较 , 便 可 检验 文件 的 
真 伪 , 并 确定 签名 者 的 身份 。 

公 钥 密码 的 一 个 主要 应 用 就 是 数字 签名 ,这 时 用 私 钥 加 密 而 用 公 钥 解密 ,如 果 解 密 出 的 
明文 与 原文 相同 , 则 验证 签名 通过 。 在 实际 应 用 中 ,通常 不 直接 对 消息 签名 ,而 是 对 消息 的 
单 向 散 列 值 签名 ,这 具有 很 多 优点 。 

数字 签名 的 实现 如 图 3. 11 所 示 。 


密 文 C 


明文 P 


1 
A 的 公 钥 接收 者 B 1 

1 

1 


le 
四 
已 
麻 
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图 311 数字 签名 的 实现 


数字 签名 体制 一 般 由 签名 算法 和 验证 算法 两 部 分 组 成 。 签 名 算法 或 签名 密 钥 是 秘密 
的 ,只 有 签名 人 掌握 ;验证 算法 应 当 公 开 , 以 便于 他 人 进行 验证 。 

对 消息 的 签名 与 对 消息 的 加 密 有 所 不 同 ,消息 加 解密 可 能 是 一 次 性 的 , 它 只 要 求 在 解密 
之 前 是 安全 的 ;而 一 个 签名 的 消息 很 可 能 在 多 年 后 仍 需 验证 其 签名 , 且 可 能 需要 多 次 验证 此 
签名 。 因 此 ,签名 的 安全 性 和 防伪 造 的 要 求 更 高 些 , 且 要 求 验证 速度 比 签名 速度 要 快 些 ,万 
其 是 对 在 线 实时 验证 。 

RSA 签名 体制 是 一 种 比较 普遍 的 数字 签名 方案 ,其 安全 性 依赖 于 大 整数 因子 分 解 的 困 
难 性 。 


1. 数字 签名 概述 


在 文件 上 手写 签名 长 期 以 来 被 用 作 作者 身份 的 证 明 , 或 表示 同意 文件 的 内 容 。 签 名 为 
什么 会 如 此 引 人 注 目 呢 ? 
(1) 签名 是 可 信 的 。 
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(2) 签名 不 可 伪造 。 

(3) 签名 不 可 重用 。 

(4) 签名 的 文件 是 不 可 改变 的 。 

(5) 签名 是 不 可 抵赖 的 。 

公 钥 密码 学 使 得 数字 签名 成 为 可 能 。 用 私 钥 加 密 信 息 , 这 时 就 称 为 对 信息 进行 数字 签 
名 。 将 密 文 附 在 原文 后 , 称 为 数字 签名 。 其 他 人 用 相应 的 公 钥 去 解密 密 文 ,将 解 出 的 明文 与 
原文 相 比较 ,如 果 相同 则 验证 成 功 ,这 称 为 验证 签名 。 

现在 ,已 有 很 多 国家 制订 了 电子 签名 法 。《 中 华人 民 共 和 国电 子 签名 法 ) 已 于 2004 年 8 
月 28 日 第 十 届 全 国人 民 代表 大 会 常务 委员 会 第 十 一 次 会 议 通 过 ,并 已 于 2005 年 4 月 1 日 
开始 施行 。 


2. 数字 签名 的 方法 


基本 的 数字 签名 协议 是 简单 的 ,例如 ,Alice 和 Bob 在 通信 时 ,为 鉴定 文件 的 真 假 及 不 可 
抵赖 ,使 用 如 下 的 鉴定 数字 签名 过 程 : 

(1) Alice 用 她 的 私 钥 对 文件 加 密 , 从 而 对 文件 签名 。 

(2) Alice 将 签名 的 文件 传 给 Bob。 

(3) Bob 用 Alice 的 公 钥 解密 文件 ,从 而 验证 签名 。 

这 个 协议 不 需要 第 三 方 去 签名 和 验证 。 其 至 协议 的 双方 也 不 需要 第 三 方 来 解决 争端 ; 
如 果 Bob 不 能 完成 第 (3) 步 ,那么 他 知道 签名 是 无 效 的 。 

这 个 协议 也 满足 我 们 期 待 的 5 个 特征 : 

(1) 签名 是 可 信 的 。 当 Bob 用 Alice 的 公 钥 验证 信息 时 ,他 知道 文件 是 由 Alice 签 
名 的 。 

(2) 签名 是 不 可 伪造 的 。 只 有 Alice 知道 她 的 私 钥 。 

(3) 签名 是 不 可 重用 的 。 签 名 是 文件 的 函数 ,并 且 不 可 能 转换 成 男 外 的 文件 。 

(4) 被 签名 的 文件 是 不 可 改变 的 。 如 果 文件 有 任何 改变 ,文件 就 不 可 能 用 Alice 的 公 
验证 成 功 。 

(5) 签名 是 不 可 抵赖 的 。Bob 不 用 Alice 的 帮助 就 能 验证 Alice 的 签名 。 


3. 单 向 散 列 函数 


在 实际 的 实现 过 程 中 ,采用 公 钥 密码 算法 对 长 文件 签名 效率 太 低 。 为 了 节约 时 间 ,数字 
签名 协议 经 常 和 单 向 散 列 函 数 一 起 使 用 。Alice 并 不 对 整个 文件 签名 ,只 对 文件 的 散 列 值 签 
名 ,过 程 如 下 : 

(1) Alice 产生 文件 的 散 列 值 。 

(2) Alice 用 她 的 私 钥 对 散 列 值 加 密 , 凭 此 表示 对 文件 签名 。 

(3) Alice 将 文件 和 散 列 签名 送 给 Bob。 

(4) Bob 用 Alice 发 送 的 文件 产生 文件 的 散 列 值 ,然后 用 Alice 的 公 钥 对 签名 的 散 列 值 
解密 。 如 果 解 密 的 散 列 值 与 自己 产生 的 散 列 值 相同 ,签名 就 是 有 效 的 。 

采用 单 向 散 列 函数 ,与 多 人 的 通信 就 变 得 很 容易 : 

(1) Alice 对 文件 的 散 列 值 签名 。 
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(2) Bob 对 文件 的 散 列 值 签名 。 

(3) Bob 将 他 的 签名 交 给 Alice。 

(4) Alice 把 文件 .她 的 签名 和 Bob 的 签名 发 给 Carol。 

(5) Carol 验证 Alice 和 Bob 的 签名 。 

Alice 和 Bob 能 同时 或 顺序 地 完成 (0) 和 (2) ,Carol 可 以 只 验证 其 中 一 人 的 签名 而 不 用 
验证 另 一 人 的 签名 。 


4. 带 加 密 的 数字 签名 


通过 把 公 钥 密码 和 数字 签名 结合 起 来 ,能 够 产生 一 个 协议 ,可 把 数字 签名 的 真实 性 和 
加 密 的 安全 性 合 起 来 。 想 象 你 写 的 一 封 信 : 签名 提供 了 原作 者 的 证 明 , 而 信封 提供 了 秘 
密 性 。 下 面 以 图 3. 12 为 例 来 说 明 。 


消息 M | 一 ( 国 Aliee 的 私 角 答 名 ) (用 Bob 的 公 角 加 密 ) 一 | 二 GO) 


Eo(SMM) |-~( 用 B66 的 入 角 解 密 一 (用 Alice 的 公 胃 验证 -~| 消息 M 
图 312 带 加 密 的 数字 签名 


(1) Alice 用 她 的 私 钥 对 信息 签名 : 
SACM) 

(2) Alice 用 Bob 的 公 钥 对 签名 的 信息 加 密 ,然后 送 给 Bob: 

Es (Sa (M)) 
(3) Bob 用 他 的 私 钥 解 密 : 

Das(Es(SACM))) 一 SACM) 
(4) Bob 用 Alice 的 公 钥 验证 并 且 恢 复出 信息 : 
Va(SA(M))=M 


5. 数字 签名 的 算法 


1991 年 8 月 ,美国 国家 标准 和 技术 协会 (NIST) 公 布 了 用 于 数字 签名 标准 (DSS) 的 数字 
签名 算法 (DSA),1994 年 12 月 1 日 正式 采用 为 美国 联邦 信息 处 理 标准 。 

前 面 提 到 RSA 可 以 用 于 数字 签名 。 根 据 以 上 的 描述 ,我 们 可 以 获得 私 钥 4d、 公 和 钥 e 和 
nn, 则 对 消息 m 签名 有 

r= sig(m) = (HQ(m))d modn 

其 中 , 右 Gm) 计 算 消 息 m 的 消息 摘要 ,可 由 散 列 函 数 SHA-1 或 MD5 得 到 。r 即 为 对 消息 的 
签名 。 

验证 签名 时 ,验证 下 式 是 否 成 立 : 

H(m) 二 re modn 
若 上 式 成 立 , 则 签名 有 效 。 
消息 签名 和 验证 的 过 程 如 图 3. 13 所 示 。 
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哈 希 函数 
哈 希 值 | 人 一 数字 签名 目 ， 
私 钥 加 密 国 消息 
ss) 


| 
数字 签名 ] 介 p 一 》|[ 哈 希 值 ! | 7 mk 


(b) 消息 验证 
图 313 消息 签名 和 消息 验证 


3.5 认证 与 身份 证 明 


3.5.1 认证 与 身份 证 明 概 述 


网 络 系统 安全 要 考虑 两 个 方面 : 一 方面 是 用 密码 保护 传送 的 信息 使 其 不 被 破译 ; 男 一 
方面 是 防止 对 手 对 系统 进行 主动 攻击 .如 伪造 或 自 改 信息 等 。 

认证 (authentication) 则 是 防止 主动 攻击 的 重要 技术 , 它 对 于 开放 的 网 络 中 的 各 种 信息 
系统 的 安全 性 有 重要 作用 。 

认证 的 主要 目的 有 以 下 两 点 : 

(1) 验证 信息 的 发 送 者 是 真 的 ,而 不 是 冒充 的 ,此 为 实体 认证 ,包括 信 源 和 信和 宿 等 的 认 
证 和 识别 。 

(2) 验证 信息 的 完整 性 ,此 为 消息 认证 ,验证 数据 在 传送 或 存储 过 程 中 未 被 算 改 、 重 放 
或 延迟 等 。 


1. 保密 和 认证 


保密 和 认证 是 信息 系统 安全 的 两 个 方面 .但 它们 是 两 个 不 同属 性 的 问题 ,认证 不 能 自动 
地 提供 保密 性 ,而 保密 也 不 能 自然 地 提供 认证 功能 。 一 个 纯 认证 系统 的 模型 如 图 3. 14 
所 示 。 


SS 


NSS 
SN 
物 联 网 安全 导论 
帘 扰 者 是 
信 源 ”| -| 认证 编码 器 上 一 | 认证 译 码 器 | -| 信 宿 
下 信道 
安全 信道 
密 钥 源 
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2. 消息 认证 


消息 认证 是 一 种 过 程 , 它 使 得 通信 的 接收 方 能 够 验证 所 收 到 的 报 文 (发 送 者 , 报 文 内 容 、 
发 送 时 间 和 序列 等 ) 在 传输 的 过 程 中 是 否 没有 被 假冒 、 伪 造 和 算 改 ,以 及 是 否 感染 上 病毒 等 ， 
即 保证 信息 的 完整 性 和 有 效 性 。 

消息 认证 的 目的 在 于 让 接收 报 文 的 目的 站 鉴别 报 文 的 真 伪 , 消 息 认证 的 内 容 应 包括 : 

(1) 证 实 报 文 的 源 和 宿 。 

(2) 报 文 内 容 是 否 曾 受 到 偶然 的 或 有 意 的 算 改 。 

(3) 报 文 的 序号 和 时 间 栏 。 

认证 只 在 通信 的 双方 之 间 进 行 ,而 不 允许 第 三 者 进行 上 述 认 证 。 认 证 不 一 定 是 实时 的 。 

3. 认证 函数 

认证 的 函数 有 3 类 : 

(1) 信息 加 密 函 数 : 用 完整 信息 的 密 文 作为 对 信息 的 认证 。 

(2) 信息 认证 码 (Message Authentication Code, MAC): 是 对 信 源 消息 的 一 个 编码 


函数 。 
(3) hash 函数 : 是 一 个 公开 的 函数 , 它 将 任意 长 的 信息 映射 成 一 个 固定 长 度 的 信息 。 


3.5.2 身份 认证 系统 


身份 认证 又 称 作 识别 (identification)、 实 体 认证 (entity authentication) 或 身份 证 实 
(identity verification) 等 。 

它 与 消息 认证 的 区 别 在 于 : 身份 认证 一 般 都 是 实时 的 ,而 消息 认证 本 身 不 提供 时 间 性 ; 
另 一 方面 ,身份 认证 通常 证 实 身份 本 身 ,而 消息 认证 除了 认证 消息 的 合法 性 和 完整 性 外 ,还 
要 知道 消息 的 含义 。 

在 一 个 充满 竞争 和 斗争 的 现实 社会 中 ,身份 欺诈 是 不 可 避免 的 ,因此 常常 需要 证 明 个 人 
的 身份 。 传 统 的 身份 认证 一 般 是 通过 检验 “ 物 " 的 有 效 性 来 确认 持 该 物 者 的 身份 。“ 物 ”可 以 
为 徽章 、 工 作证 、 信 用 卡 、 身 份 证 和 护照 等 , 卡 上 含有 个 人 照片 ,并 有 权威 机 构 的 签 章 。 

随 着 信息 化 和 网 络 化 业务 的 发 展 , 这 类 依靠 人 工 的 识别 工作 已 逐步 由 机 器 通过 数字 化 
方式 来 实现 。 在 信息 化 社会 中 , 随 着 信息 业务 的 扩大 ,要 求 验证 的 对 象 集合 也 迅速 加 大 ,大 
大 增加 了 身份 认证 的 复杂 性 和 实现 的 困难 性 。 
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通常 ,身份 认证 是 通过 3 种 基本 方式 或 其 组 合 方式 来 完成 的 : 

(1) 用 户 所 知道 的 某 个 秘密 信息 ,如 用 户口 令 。 

(2) 用 户 所 持 有 的 某 个 秘密 信息 (硬件 ), 即 用 户 必须 持 有 合法 的 随身 携带 的 物理 介质 ， 
如 磁卡 、 智 能 卡 或 用 户 所 申请 领取 的 公 钥 证 书 。 

(3) 用 户 所 具有 的 某 些 生 物 特征 ,如 指纹 声音.DNA 图 案 和 视网膜 扫描 等 。 


1. 口令 认证 


口令 认证 是 最 简单 .最 普遍 的 身份 识别 技术 ,如 各 类 系统 的 登录 等 。 口 令 具有 共享 秘密 
的 属性 ,口令 有 时 由 用 户 选 择 , 有 时 由 系统 分 配 。 通 常情 况 下 ,用户 先 输入 某 种 标志 信息 , 比 
如 用 户 名 和 ID 号 ,然后 系统 询问 用 户口 令 , 若 口令 与 用 户 文件 中 的 相 匹配 ,用 户 即 可 进入 访 
问 。 口令 有 多 种 ,如 一 次 性 口令 和 基于 时 间 的 口令 等 。 

这 种 方法 的 缺点 是 : 

(1) 其 安全 性 仅仅 基于 用 户口 令 的 保密 性 ,而 用 户口 令 一 般 较 短 且 容易 猜测 ,因此 这 种 
方案 不 能 抵御 口令 猜测 攻击 。 

(2) 大 多 数 系统 的 口令 是 明文 传送 到 验证 服务 器 的 ,容易 被 截获 。 

(3) 口令 维护 的 成 本 较 高 。 为 保证 安全 性 ,口令 应 当 经 常 更 换 。 另 外 ,为 避免 对 口令 的 
字典 攻击 ,口令 应 当 保证 一 定 的 长 度 , 并 且 尽 量 采 用 随机 的 字符 。 但 其 缺点 是 难于 记忆 。 

(4) 口令 容易 在 输入 的 时 候 被 攻击 者 偷窥 ,而 且 用 户 无 法 及 时 发 现 。 


2. 数字 证 书 


数字 证 书 是 一 种 检验 用 户 身 份 的 电子 文件 ,也 是 企业 现在 可 以 使 用 的 一 种 工具 。 这 种 
证 书 可 以 授权 购买 ,提供 更 强 的 访问 控制 ,并 具有 很 高 的 安全 性 和 可 靠 性 。 非 对 称 体制 身份 
识别 的 关键 是 将 用 户 身份 与 密 钥 绑 定 。 

CA(Certificate Authority) 通 过 为 用 户 发 放 数字 证 书 来 证 明 用户 公 钥 与 用 户 身份 的 对 
应 关系 。 证 明 过 程 如 下 : 

(1) 验证 者 向 用 户 提供 一 个 随机 数 。 

(2) 用 户 以 其 私 钥 (SK) 对 随机 数 进行 签名 ,将 签名 和 自己 的 证 书 提交 给 验证 方 。 

(3) 验证 者 验证 证 书 的 有 效 性 ,从 证 书 中 获得 用 户 公 钥 (PK) ,以 PK 验证 用 户 签名 的 随 
机 数 。 


3. 智能 卡 


网 络 通 过 用 户 拥 有 什么 东西 来 识别 的 方法 ,一 般 是 用 智能 卡 或 其 他 特殊 形式 的 标志 ， 
类 标志 可 以 从 连接 到 计算 机 上 的 读 取 器 读 出 来 。 访 问 不 但 需要 口令 ,也 需要 使 用 物理 智 
能 卡 。 

智能 卡 技术 将 成 为 用 户 接 入 和 用 户 身份 认证 等 安全 要 求 的 首选 技术 。 用 户 将 从 持 有 认 
证 执照 的 可 信 发 行者 手 里 取得 智能 卡 安全 设备 ,也 可 从 其 他 公共 密 钥 密码 安全 方案 发 行者 
那里 获得 ,这 样 智 能 卡 的 读 取 器 必 将 成 为 用 户 接 人 和 认证 安全 解决 方案 的 一 个 关键 部 分 。 


4. 主体 特征 认证 
目前 已 有 的 设备 包括 视网膜 扫描 仪 .声音 验证 设备 和 手 型 识别 器 等 。 这 种 方式 安全 
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性 高 。 

例如 ,系统 中 存储 了 用 户 的 指纹 ,用 户 接 入 网络 时 ,就 必须 在 连接 到 网 络 的 电子 指纹 机 
上 提供 其 指纹 (这 就 防止 了 用 户 以 假 的 指纹 或 其 他 电子 信息 欺骗 系统 ), 只 有 指纹 相符 才 允 
许 用 户 访问 系统 。 

更 普通 的 是 通过 视网膜 血管 分 布 图 来 识别 ,原理 与 指纹 识别 相同 。 声 波纹 识别 也 是 商 
业 系 统 采用 的 一 种 识别 方式 。 


3.5.3 个 人 特征 的 身份 证 明 


传统 的 身份 证 明 一 般 靠 人 工 的 识别 ,现在 正 逐 步 由 机 器 代 蔡 。 在 信息 化 社会 中 , 随 着 信 
息 业 务 的 扩大 ,要 求 验证 的 对 象 集合 也 迅速 加 大 ,因而 大 大 增加 了 身份 验证 的 复杂 性 和 实现 
的 困难 性 。 以 下 讨论 几 种 以 数字 化 方式 实现 安全 、 准 确 、 高 效 和 低 成 本 的 认证 的 技术 。 


1. 身份 证 明 的 基本 概念 


(1) 信息 化 社会 对 身份 证 明 的 新 要 求 : 随 着 信息 业务 的 扩大 ,要 求 验证 的 对 象 集合 也 迅 
速 加 大 ,因而 大 大 增加 了 身份 验证 的 复杂 性 和 实现 的 困难 性 。 信 息 化 社会 要 求实 现 安全 、 准 
确 高效 和 低 成 本 的 数字 化 .自动 化 和 网 络 化 的 认证 。 

(2) 身份 证 明 技术 : 又 称 作 识别 (identification) ,实体 认证 (entity authentication ) 或 身 
份 证 实 (identity verification) 等 。 

(3) 实体 认证 与 消息 认证 的 差别 在 于 ,消息 认证 本 身 不 提供 时 间 性 ,而 实体 认证 一 般 都 
是 实时 的 。 另 一 方面 ,实体 认证 通常 证 实 实体 本 身 , 而 消息 认证 除了 证 实 消息 的 合法 性 和 完 
整 性 外 ,还 要 知道 消息 的 含义 。 


2. 身份 证 明 系统 的 组 成 


身份 证 明 系 统 的 组 成 一 般 由 4 个 部 分 组 成 : 

(1) 示 证 者 (prover) : 出 示 证 件 的 人 ,又 称 作 申请 者 (claimant)。 示 证 者 提出 某 种 要 求 。 
(2) 验证 者 (verifier) : 检验 示 证 者 提出 的 证 件 的 正确 性 和 合法 性 ,决定 是 否 满足 其 要 求 。 
(3) 攻击 者 : 窃听 和 伪装 示 证 者 骗取 验证 者 的 信任 。 

(4) 可 信赖 者 : 参与 调解 纠纷 。 可 信赖 者 是 必要 时 的 第 四 方 。 


3. 对 身份 证 明 系 统 的 要 求 


对 身份 证 明 系统 一 般 有 以 下 10 个 方面 的 要 求 : 

(1) 验证 者 正确 识别 合法 示 证 者 的 概率 极 大 化 。 

(2) 不 具 可 传递 性 (transferability) , 即 验证 者 B 不 可 能 重用 示 证 者 A 提供 给 他 的 信息 
来 伪装 示 证 者 A, 而 成功 地 骗取 其 他 人 的 验证 ,从 而 得 到 信任 。 

(3) 攻击 者 伪装 示 证 者 欺骗 验证 者 成 功 的 概率 要 小 到 可 以 忽略 的 程度 ,特别 是 要 能 抗 
已 知 密 文 攻击 , 即 能 抗 攻击 者 在 截获 到 示 证 者 和 验证 者 多 次 (多 次 式 表 示 ) 通 信 下 伪装 示 证 
者 欺骗 验证 者 。 

(4) 计算 有 效 性 , 即 为 实现 身份 证 明 所 需 的 计算 量 要 小 。 

(5) 通信 有 效 性 , 即 为 实现 身份 证 明 所 需 通 信 次 数 和 数据 量 要 小 。 
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(6) 秘密 参数 能 安全 存储 。 

(7) 交互 识别 ,有 些 应 用 中 要 求 双方 能 互相 进行 身份 认证 。 
(8) 第 三 方 的 实时 参与 ,如 在 线 公 钥 检索 服务 。 

(9) 第 三 方 的 可 信赖 性 。 

(10) 可 证 明 安全 性 。 


4. 身份 证 明 的 基本 分 类 


1) 身份 识别 和 身份 证 明 的 差异 

(1) 身份 证 实 (identity verification) 要 回答 “你 是 否 是 你 所 声称 的 你 ?” 即 只 对 个 人 身份 
进行 肯定 或 否定 。 一 般 方法 是 输入 个 人 信息 ,经 公式 和 算法 运算 所 得 的 结果 与 从 卡 上 或 库 
中 存储 的 信息 经 公式 和 算法 运算 所 得 结果 进行 比较 ,得 出 结论 。 

(2) 身份 识别 (identity recognition) 要 回答 “我 是 否 知道 你 是 谁 ?” 一 般 方法 是 输入 个 人 
信息 ,经 处 理 提取 成 模板 信息 , 试 着 在 存储 数据 库 中 搜索 找 出 一 个 与 之 匹配 的 模板 ,而 后 给 
出 结论 。 例 如 ,确定 一 个 人 是 否 曾 有 前 科 的 指纹 检验 系统 。 

显然 ,身份 识别 要 比 身份 证 明 难 得 多 。 

2) 实现 身份 证 明 的 基本 途径 

身份 证 明 可 以 依靠 下 述 3 种 基本 途径 之 一 或 它们 的 组 合 实现 : 

(1) 所 知 (knowledge) : 个 人 所 知道 的 或 所 掌握 的 知识 ,如 密码 和 口令 等 。 

(2) 所 有 (possess) : 个 人 所 具有 的 东西 ,如 身份 证 ,护照 ,信用 卡 和 钥匙 等 。 

(3) 个 人 特征 (characteristics): 如 指纹 、 笔 迹 、 声 纹 、 手 型 .脸型 .血型 .视网膜 ,虹膜 、 
DNA 以 及 个 人 一 些 动 作 方面 的 特征 等 。 

在 安全 性 要 求 较 高 的 系统 ,由 口令 和 持 证 等 所 提供 的 安全 保障 不 够 完善 。 口 令 可 能 被 
泄露 ,证 件 可 能 丢失 或 被 伪造 。 更 高 级 的 身份 验证 是 根据 被 授权 用 户 的 个 人 特征 来 进行 的 
确证 , 它 是 一 种 可 信 度 高 而 又 难以 伪造 的 验证 方法 。 这 种 方法 在 刑事 案件 侦破 中 早 就 采用 
了 。 自 1870 年 开始 沿用 了 40 年 的 法 国 Bertillon 体制 对 人 的 前 辟 、 手 指 长 度 、 身 高 和 足 长 等 
进行 测试 ,是 根据 人 体 测 量 学 (anthropometry) 进 行 身份 验证 ,这 比 指纹 还 精确 ,使 用 以 来 未 
发 现 过 两 个 人 的 数值 完全 相同 的 情况 。 伦 敦 市 警 厅 已 于 1900 年 采用 了 这 一 体制 。 

新 的 含义 更 广 的 生物 统计 学 (biometrics) 正 在 成 为 自动 化 世界 所 需要 的 自动 化 个 人 身 
份 认 证 技术 中 最 简单 .安全 的 方法 , 它 利 用 个 人 的 生理 特征 来 实现 。 

个 人 特征 有 静态 的 和 动态 的 ,如 容貌 .肤色 ,发 长 .身材 ,姿势 手印 .指纹 、 脚 印 . 层 印 \ 颅 
相 ` 口 音 、 脚 步 声 、 体 味 、 视 网 膜 .血型 .遗传 因子 .笔迹 .习惯 性 签字 打字 韵律 以 及 在 外 界 刺 
激 下 的 反应 等 。 当 然 采 用 的 方式 还 要 为 被 验证 者 所 接受 。 有 些 检验 项 目 ,如 展 印 . 足 印 等 ， 
虽然 鉴别 率 很 高 ,但 难于 为 人 们 接受 而 不 能 广泛 使 用 。 有 些 可 由 人 工 鉴别 ,有 些 则 须 借 助 于 
仪器 ,当然 不 是 所 有 场合 都 能 采用 。 

个 人 特征 都 具有 因 人 而 异 和 随身 携带 的 特点 ,不 会 丢失 且 难 以 伪造 , 极 适用 于 个 人 身份 
认证 。 有 些 个 人 特征 会 随时 间 变 化 。 验 证 设备 须 有 一 定 的 容 差 。 容 差 太 小 可 能 使 系统 经 常 
不 能 正确 认 出 合法 用 户 ,造成 虚 警 概率 过 大 。 在 实际 系统 设计 中 要 作 最 佳 折 中 选择 。 有 些 
个 人 特征 则 具有 终生 不 变 的 特点 ,如 DNA .视网膜 、 虹 膜 和 指纹 等 。 

(1) 手书 签字 验证 

传统 的 协议 .契约 等 都 以 手书 签字 生效 。 发 生 争 执 时 则 由 法 庭 判决 ,一 般 都 要 经 过 专家 
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鉴定 。 由 于 签字 动作 和 字迹 具有 强烈 的 个 性 而 可 作为 身份 验证 的 可 靠 依据 。 

也 可 以 使 用 机 器 自动 识别 手书 签字 。 机 器 识别 的 任务 有 二 : 一 是 签字 的 文字 含义 ,二 
是 手书 的 字迹 风格 ,后 者 对 于 身份 验证 尤为 重要 。 识 别 可 从 已 有 的 手迹 和 签字 的 动力 学 过 
程 中 的 个 人 动作 特征 出 发 来 实现 。 前 者 为 静态 识别 ,后 者 为 动态 识别 。 

静态 验证 根据 字迹 的 比例 .倾斜 的 角度 .整个 签字 布局 及 字母 形态 等 进行 证 实 。 动 态 验 
证 是 根据 实时 签字 过 程 进行 证 实 , 要 测量 和 分 析 书 写 时 的 节奏 、 笔 划 顺 序 、 轻 重 、 断 点 次 数 、 
环 .拐点 .斜率 .速度 和 加 速度 等 个 人 特征 。 动 态 验证 可 能 成 为 软件 安全 工具 的 新 成 员 ,将 在 
Internet 的 安全 上 起 重要 作用 。 

可 能 的 伪造 签字 类 型 有 两 种 : 一 是 不 知 真 迹 时 , 按 得 到 的 信息 (如 银行 支票 上 印 的 名 
字 ) 随 手 签 的 字 ; 二 是 已 知 真 迹 时 的 模仿 签字 或 映 描 签 字 。 前 者 比较 容易 识别 ,而 后 者 的 识 
别 就 困难 得 多 。 

(2) 指纹 验证 

指纹 验证 早 就 用 于 契约 签证 和 侦查 破案 。 由 于 没有 两 个 人 (包括 挛 生 儿 ) 的 皮肤 纹路 图 
样 完全 相同 (相同 的 可 能 性 不 到 10-”) ,而 且 它 的 形状 不 随时 间 而 变化 ,提取 指纹 作为 永久 
记录 存档 又 极为 方便 ,这 使 它 成 为 进行 身份 验证 的 准确 而 可 靠 的 手段 。 每 个 指头 的 纹路 可 
分 为 两 大 类 , 即 环 状 和 涡 状 ,每 类 又 根据 其 细节 和 分 又 等 分 成 50 一 200 个 不 同 的 图 样 。 通 常 
由 专家 来 进行 指纹 鉴别 。 近 来 ,许多 国家 都 在 研究 计算 机 自动 识别 指纹 图 样 。 

将 指纹 验证 作为 接 人 控制 手段 会 大 大 提高 其 安全 性 和 可 靠 性 。 但 由 于 指纹 验证 常 和 犯 
罪 联系 在 一 起 ,人 们 从 心理 上 不 愿 接受 按 指纹 。 此 外 ,这 种 机 器 识别 指纹 的 成 本 目前 还 很 
高 ,所 以 还 未 能 广泛 地 用 在 一 般 系统 中 。 

(3) 语音 验证 

每 个 人 的 说 话 声音 都 各 有 其 特点 ,人 对 于 语音 的 识别 能 力 是 很 强 的 ,即使 在 强 干 扰 下 ， 
也 能 分 辨 出 某 个 熟人 的 话音 。 在 军事 和 商业 通信 中 常常 靠 听 对 方 的 语音 实现 个 人 身份 验 
证 。 美 国 AT&T 公 司 为 拨号 电话 系统 研制 了 一 种 称 作 语 音 护符 系统 (Voice Passsword 
System,VPS) 以 及 用 于 ATM 系统 中 的 智能 卡 系统 的 ,它们 都 是 以 语音 分 析 技 术 为 基础 的 。 

(4) 视网膜 图 样 验证 

人 的 视网膜 血管 的 图 样 ( 即 视网膜 脉络 ) 具 有 和 良好 的 个 人 特征 。 基 于 视网膜 图 样 的 识别 
系统 已 在 研制 中 。 其 基本 方法 是 利用 光学 和 电子 仪器 将 视网膜 血管 图 样 记录 下 来 ,一 个 视 
网 膜 血管 的 图 样 可 压缩 为 小 于 35B 的 数字 信息 。 可 根据 对 图 样 的 节点 和 分 支 的 检测 结果 进 
行 分 类 识别 。 被 识别 人 必须 合作 以 允许 采样 。 研 究 表明 ,识别 验证 的 效果 相当 好 。 如 果 注 
册 人 数 小 于 200 万 时 ,其 工 型 和 开 型 错误 率 都 为 0, 所 需 时 间 为 秒 级 ,在 要 求 可 靠 性 高 的 场合 
可 以 发 挥 作用 ,已 在 军事 和 银行 系统 中 采用 。 但 这 种 识别 系统 的 成 本 比较 高 。 

(5) 虹膜 图 样 验 证 

虹膜 是 巩膜 的 延长 部 分 ,是 眼球 角膜 和 晶体 之 间 的 环形 薄膜 ,其 图 样 具有 个 人 特征 ,可 
以 提供 比 指纹 更 为 细致 的 信息 。 可 以 在 35 一 40cm 的 距离 采样 , 比 采 和 集 视网膜 图 样 要 方便 ， 
易 为 人 所 接受 。 存 储 一 个 虹膜 图 样 需要 256B, 所 需 的 计算 时 间 为 100ms。 其 工 型 和 开 型 错 
误 率 都 为 1/133 000。 可 用 于 安全 入 口 、 接 人 控制 信用卡.POS、ATM( 自 动 支付 系统 ) 和 护 
照 等 的 身份 认证 。 

(6) 脸型 验证 

Harmon 等 设计 了 一 种 从 照片 识别 人 脸 轮廓 的 验证 系统 。 对 100 个 “好 ”对 象 识别 结果 
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正确 率 达 100%。 但 对 “ 差 ” 对 象 的 识别 要 困难 得 多 ,要 求 更 细致 地 实验 。 对 于 不 加 选择 的 对 
象 集合 的 身份 验证 几乎 可 达到 完全 正确 ,可 作为 司法 部 门 的 有 力 辅助 工具 。 目 前 有 多 家 公 
司 从 事 脸型 自动 验证 新 产品 的 研制 和 生产 。 他 们 利用 图 像 识别 、 神 经 网 络 和 红外 扫描 探测 
人 脸 的 “热点 ”进行 采样 .处 理 和 提取 图 样 信息 。 目 前 已 有 能 存 人 5000 个 脸型 ,每 秒 可 识别 
20 个 人 的 系统 。 将 来 可 存 和 人 100 万 个 脸型 ,但 识别 检索 所 需 的 时 间 将 加 大 到 2 分 钟 。True 
Face 系统 将 用 于 银行 等 的 身份 识别 系统 中 。Visionics 公司 的 面部 识别 产品 Facelt 已 用 于 
网 络 环境 中 ,其 软件 开发 工具 (SDK) 可 以 集 入 信息 系统 的 软件 系统 中 ,作为 金融 、 接 入 控制 、 
电话 会 议 、 安 全 监视 ,护照 管理 和 社会 福利 发 放 等 系统 的 应 用 软件 。 


3.6 物 联网 认证 与 访问 控制 


认证 指使 用 者 采用 某 种 方式 来 证 明 自 己 确实 是 自己 宣称 的 某 人 ,网 络 中 的 认证 主要 包 
括 身份 认证 和 消息 认证 。 身 份 认证 可 以 使 通信 双方 确信 对 方 的 身份 并 交换 会 话 密 钥 。 消 息 
认证 主要 是 接收 方 希望 能 够 保证 其 接收 的 消息 确实 来 自 真正 的 发 送 方 。 

在 物 联网 的 认证 过 程 中 ,传感器 网 络 的 认证 机 制 是 重要 的 研究 部 分 ,无 线 传感器 网 络 中 
的 认证 技术 主要 包括 基于 轻 量 级 公 钥 的 认证 技术 、 预 共享 密 钥 的 认证 技术 、 随 机 密 钥 预 分 布 
的 认证 技术 、 利 用 辅助 信息 的 认证 和 基于 单 向 散 列 函数 的 认证 等 。 

访问 控制 是 对 用 户 合法 使 用 资源 的 认证 和 控制 ,目前 信息 系统 的 访问 控制 主要 是 基于 
角色 的 访问 控制 机 制 (Role-Based Access Control,RBAC) 及 其 扩展 模型 。RBAC 机 制 主要 
由 Sandhu 于 1996 年 提出 的 基本 模型 RBAC96 构成 ,一 个 用 户 先 由 系统 分 配 一 个 角色 ,如 
管理 员 或 普通 用 户 等 ,登录 系统 后 ,根据 用 户 的 角色 所 设置 的 访问 策略 实现 对 资源 的 访问 ， 
显然 ,同样 的 角色 可 以 访问 同样 的 资源 。RBAC 机 制 是 基于 互联 网 的 OA 系统 .银行 系统 和 
网 上 商店 等 系统 的 访问 控制 方法 ,是 基于 用 户 的 访问 控制 。 

对 物 联网 而 言 ,末端 是 感知 网 络 ,可 能 是 一 个 感知 节点 或 一 个 物体 ,采用 用 户 角色 的 形 
式 进行 资源 的 控制 显得 不 够 灵活 ,主要 表现 在 以 下 3 点 : 

(1) 基于 角色 的 访问 控制 在 分 布 式 的 网 络 环境 中 已 呈现 出 不 相 适 应 的 地 方 , 如 对 具有 
时 间 约 束 资源 的 访问 控制 ,访问 控制 的 多 层次 适应 性 等 方面 需要 进一步 探讨 。 

(2) 节点 不 是 用 户 , 而 是 各 类 传感器 或 其 他 设备 , 且 种 类 繁多 ,基于 角色 的 访问 控制 机 
制 中 角色 类 型 无 法 一 一 对 应 这 些 节 点 ,因此 ,使 RBAC 机 制 的 难于 实现 。 

(3) 物 联 网 表现 的 是 信息 的 感知 互动 过 程 , 包 含 了 信息 的 处 理 、. 决 策 和 控制 等 过 程 , 特 
别 是 反 向 控制 是 物 物 互 连 的 特征 之 一 .资源 的 访问 呈现 动态 性 和 多 层次 性 ,而 RBAC 机 制 中 
一 旦 用 户 被 指定 为 某 种 角色 ,他 的 可 访问 资源 就 相对 固定 了 。 所 以 ,寻求 新 的 访问 控制 机 制 
是 物 联网 ,也 是 互联 网 值得 研究 的 问题 。 

基于 属性 的 访问 控制 (Attribute-Based Access Control, ABAC) 是 近 几 年 研究 的 热点 ， 
如 果 将 角色 映射 成 用 户 的 属性 ,可 以 构成 ABAC 与 RBAC 的 对 等 关系 ,而 属性 的 增加 相对 
简单 ,同时 基于 属性 的 加 密 算法 可 以 使 ABAC 得 以 实现 。ABAC 方法 的 问题 是 对 较 少 的 属 
性 来 说 ,加 密 解 密 的 效率 较 高 ,但 随 着 属性 数量 的 增加 ,加 密 的 密 文 长 度 增加 ,使 算法 的 实用 
性 受到 限制 ,目前 有 两 个 发 展 方向 : 基于 密 钥 策略 和 基于 密 文 策略 ,其 目标 就 是 改善 基于 属 
性 的 加 密 算法 的 性 能 。 


物 联 网 安全 导论 


3.6.1 电子 ID 身份 识别 技术 


在 各 种 信息 系统 中 ,身份 鉴别 通常 是 获得 系统 服务 所 必须 通过 的 第 一 道 关 卡 。 例 如 , 移 
动 通信 系统 需要 识别 用 户 的 身份 进行 计 费 ,一 个 受 控 安全 信息 系统 需要 基于 用 户 身份 进行 
访问 控制 ,等 等 。 因 此 ,确保 身份 识别 的 安全 性 对 系统 的 安全 是 至 关 重 要 的 。 


1. 电子 ID 的 身份 鉴别 技术 


目前 常用 的 身份 识别 技术 可 以 分 为 两 大 类 : 一 类 是 基于 密码 技术 的 各 种 电子 ID 身份 
鉴别 技术 ; 另 一 类 是 基于 生物 特征 识别 的 识别 技术 。 以 下 主要 讨论 和 介绍 电子 ID 的 身份 鉴 
别 技术 。 

1) 通行 字 识 别 方式 (password) 

通行 字 识 别 方式 是 使 用 最 广泛 的 一 种 身份 识别 方式 ,比如 中 国 古 代 调 兵 用 的 虎 符 和 现 
代 通 信和 网 的 拨 入 协议 等 。 

通行 字 一 般 是 由 数字 字母 ,特殊 字符 和 控制 字符 等 组 成 的 长 为 5 一 8 的 字符 串 。 通 行 
字 选 择 规则 为 : 易 记 ,难于 被 别人 猜 中 或 发 现 , 抗 分 析 能 力 强 , 还 需要 考虑 它 的 选择 方法 、 使 
用 期 长度、 分配、 存储 和 管理 等 。 

通行 字 技术 识别 办 法 为 : 识别 者 A 先 输入 其 通行 字 , 然 后 计算 机 确认 它 的 正确 性 。 
A 和 计算 机 都 知道 这 个 秘密 通行 字 , A 每 次 登录 时 ,计算 机 都 要 求 A 输入 通行 字 。 要 求 计 
算 机 存储 通行 字 ,一旦 通行 字 文 件 暴露 ,就 可 获得 通行 字 。 为 了 克服 这 种 缺陷 ,人 们 建议 采 
用 单 向 函数 。 此 时 ,计算 机 存储 的 是 通行 字 的 单项 函数 值 而 不 是 通行 字 本 身 。 

2) 持 证 (token) 的 方式 

持 证 是 一 种 个 人 持 有 物 , 它 的 作用 类 似 于 钥匙 ,用 于 启动 电子 设备 。 

一 般 使 用 一 种 嵌 有 磁 条 的 塑料 卡 , 磁 条 上 记录 有 用 于 机 器 识别 的 个 人 信息 。 这 类 卡通 
常 和 个 人 识别 号 (PIN) 一 起 使 用 ,这 类 卡 易于 制造 ,而 且 磁 条 上 记录 的 数据 也 易于 转录 , 因 
此 要 设法 防止 仿制 。 为 了 提高 磁卡 的 安全 性 ,人 们 建议 使 用 一 种 被 称 作 智能 卡 的 磁卡 来 
代替 普通 的 磁卡 ,智能 卡 与 普通 磁卡 的 主要 区 别 在 于 智能 卡带 有 智能 化 的 微 处 理 器 和 存 
储 器 。 

智能 卡 或 IC 卡 是 一 种 芯片 卡 或 CPU 卡 (需要 电池 ) ,由 一 个 或 多 个 集成 电路 芯片 组 成 ， 
并 封装 成 便于 人 们 携带 的 卡片 ,在 集成 电路 中 具有 微型 机 CPU 和 存储 器 。 智 能 卡 具 有 暂时 
或 永久 的 数据 存储 能 力 ,其 内 容 可 供 外 部 读 取 或 供 内 部 处 理 和 判断 ,同时 还 具有 人 逻辑 处 理 功 
能 ,用 于 识别 和 响应 外 部 提供 的 信息 和 芯片 本 身 判定 路 线 和 指令 执行 的 逻辑 功能 。 

计算 芯片 镶嵌 在 一 张 名 片 大 小 的 塑料 卡片 上 ,从 而 完成 数据 的 存储 与 计算 ,并 可 以 通过 
读 卡 器 访问 智能 卡 中 的 数据 。 日 常 应 用 包括 IC 电话 的 IC 卡 、 手 机 的 SIM 卡 和 银行 的 IC 银 
行 卡 等 。 由 于 智能 卡 具 有 安全 存储 和 处 理 能 力 . 因 此 智能 卡 在 个 人 身份 识别 方面 有 着 得 天 
独 厚 的 优势 。 


2. 基于 对 称 密码 体制 的 身份 鉴别 


密码 的 身份 识别 技术 从 根本 上 来 说 是 基于 用 户 所 持 有 的 一 个 秘密 ,所 以 ,秘密 必须 和 用 
户 的 身份 绑 定 。 


70 


第 3 章 密码 与 身份 认证 技术 


1) 用 户 名 /口令 鉴别 技术 

这 种 身份 鉴别 技术 是 最 简单 、 目 前 应 用 最 普遍 的 身份 识别 技术 ,比如 Windows NT、 各 
类 UNIX 操作 系统 和 信用 卡 等 各 类 系统 的 操作 员 登 录 等 ,大 量 使 用 的 是 用 户 名 /口令 识别 
技术 。 

这 种 技术 的 主要 特征 是 : 每 个 用 户 持 有 一 个 口令 作为 其 身份 的 证 明 , 在 验证 端 保存 一 
个 数据 库 来 实现 用 户 名 与 口令 的 绑 定 。 在 用 户 身 份 识 别 时 ,用 户 必须 同时 提供 用 户 名 和 
日 令 。 

用 户 名 /口令 具有 实现 简单 的 优点 ,但 存在 以 下 安全 方面 的 缺点 : 

(1) 大 多 数 系统 的 口令 是 明文 传送 到 验证 服务 器 的 ,容易 被 截获 。 某 些 系 统 在 建立 一 
个 加 密 链 路 后 再 进行 口令 的 传输 以 解决 此 问题 ,如 配置 链 路 加 密 机 。 招 商 银行 的 网 上 银行 
就 是 以 SSL 建立 加 密 链 路 后 再 传输 用 户口 令 的 。 

(2) 口令 维护 的 成 本 较 高 。 为 保证 安全 性 ,口令 应 当 经 常 更 换 。 另 外 为 避免 对 口令 的 
字典 攻击 ,口令 应 当 保证 一 定 的 长 度 , 并 且 尽 量 采 用 随机 的 字符 。 但 是 这 样 带 来 难于 记忆 、 
容易 遗忘 的 缺点 。 

(3) 口令 容易 在 输入 的 时 候 被 攻击 者 偷窥 ,而 且 用 户 无 法 及 时 发 现 。 

2) 动态 口令 技术 

为 解决 上 述 问题 ,在 发 明 著 名 公 钥 算法 RSA 基础 上 建立 起 来 的 美国 RSA 公司 在 其 一 
种 产品 SecurID 中 采用 了 动态 口令 技术 。 每 个 用 户 发 有 一 个 身份 令 牌 ,该 令 牌 以 每 分 钟 一 
次 的 速度 产生 新 的 口令 。 验 证 服务 器 会 跟踪 每 一 个 用 户 的 ID 令 牌 产生 的 口令 相位 ,这 是 一 
种 时 间 同 步 的 动态 口令 系统 。 该 系统 解决 了 口令 被 截获 和 难于 记忆 的 问题 ,在 国外 得 到 了 
广泛 的 使 用 。 很 多 大 公司 使 用 SecurID, 用 于 接 人 VPN 和 远程 接 人 应 用 、 网 络 操作 系统 、 
Intranet 和 Extranet、Web 服务 器 及 应 用 ,全 球 累 计 使 用 量 达 800 万 个 。 

在 使 用 时 ,SecurID 与 个 人 标识 符 (PIN) 结 合 使 用 ,也 就 是 所 谓 的 双 因 子 认 证 。 用 户 用 
其 所 知道 的 PIN 和 其 所 拥有 的 SecurID 两 个 因子 向 服务 器 证 明 自 己 的 身份 , 比 单纯 的 用 户 
名 /口令 识别 技术 有 更 高 的 安全 性 。 

3) Challenge-Response 鉴别 技术 

Challenge-Response 是 最 为 安全 的 对 称 体制 身份 识别 技术 。 它 利用 hash 函数 ,在 不 传 
输 用 户口 令 的 情况 下 识别 用 户 的 身份 。 系 统 与 用 户 事先 共享 一 个 秘密 zx。 当 用 户 要 求 登录 
系统 时 ,系统 产生 一 个 随机 数 Random 作为 对 用 户 的 Challenge, 用 户 计算 Hash(Random， 
z) 作 为 Response 传 给 服务 器 。 服 务 器 从 数据 库 中 取得 xz, 也 计算 Hash(Random,x), 如 果 
结果 与 用 户 传 来 的 结果 一 致 ,说 明 用 户 持 有 .从 而 验证 了 用 户 的 身份 。 

Challenge-Response 技术 已 经 得 到 广泛 使 用 。Windows NT 的 用 户 认证 就 采用 了 这 一 
技术 。IPSec 协议 中 的 密 钥 交 换 (IKE) 也 采用 了 该 识别 技术 。 该 技术 的 流程 示意 图 如 
图 3. 15 所 示 。 


3. 基于 非 对 称 密码 体制 的 身份 识别 技术 


采用 对 称 密码 体制 识别 技术 的 主要 特点 是 必须 拥有 一 个 密 钥 分 配 中 心 (KDC) 或 中 心 认 
证 服务 器 ,该 服务 器 保存 所 有 系统 用 户 的 秘密 信息 。 这 样 对 于 一 个 比较 方便 进行 集中 控制 
的 系统 来 说 是 一 个 较 好 的 选择 ,当然 ,这 种 体制 对 于 中 心 数 据 库 的 安全 要 求 是 很 高 的 ,因为 
一 旦 中 心 数据 库 被 攻破 ,整个 系统 就 将 崩溃 。 
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图 315 Challenge-Response 鉴别 示意 图 


随 着 网 络 应 用 的 普及 ,对 系统 外 用 户 的 身份 识别 的 要 求 不 断 增加 。 即 某 个 用 户 没 有 在 
一 个 系统 中 注册 ,但 也 要 求 能 够 对 其 身份 进行 识别 。 尤 其 是 在 分 布 式 系统 中 ,这 种 要 求 格外 
突出 。 这 种 情况 下 , 非 对 称 体制 密码 技术 就 显示 出 了 它 独特 的 优越 性 。 

采用 非 对 称 体制 的 每 个 用 户 被 分 配给 一 对 密 钥 (也 可 由 自己 产生 ), 称 为 公开 密 钥 和 秘 
密 密 钥 。 其 中 秘密 密 钥 由 用 户 妥 善 保管 ,而 公开 密 钥 则 向 所 有 人 公开 。 由 于 这 一 对 密 钥 必 
须 配对 使 用 ,因此 ,用 户 如 果 能 够 向 验证 方 证 实 自己 持 有 秘密 密 钥 ,就 证 明了 自己 的 身份 。 

非 对 称 体制 身份 识别 的 关键 是 将 用 户 身份 与 密 钥 绑 定 。CA(Certificate Authority) 通 
过 为 用 户 发 放 数 字 证 书 (certificate) 来 证 明 用 户 公 钥 与 用 户 身 份 的 对 应 关系 。 

目前 证 书 认证 的 通用 国际 标准 是 X. 509。 证 书 中 包含 的 关键 内 容 是 用 户 的 名 称 和 用 户 
公 钥 ,以 及 该 证 书 的 有 效 期 和 发 放 证 书 的 CA 名 称 。 所 有 内 容 由 CA 用 其 秘密 密 钥 进行 数 
字 签 名 ,由 于 CA 是 大 家 信任 的 权威 机 构 , 所 以 所 有 人 可 以 利用 CA 的 公开 密 钥 验 证 其 发 放 
证 书 的 有 效 性 ,进而 确认 证 书 中 公开 密 钥 与 用 户 身份 的 绑 定 关系 ,随后 可 以 用 用 户 的 公开 密 
钥 来 证 实 其 确实 持 有 秘密 密 钥 ,从 而 证 实用 户 的 身份 。 

采用 数字 证 书 进行 身份 识别 的 协议 有 很 多 ,SSL(Secure Socket Layer) 和 SET(Secure 
Electronic Transaction) 是 其 中 的 两 个 典型 样 例 。 采 用 数字 证 书 向 验证 方 证 实 自己 身份 的 方 
式 如 图 3. 16 所 示 。 


用 户 签证 方 


| 产生 Random 


计算 
Kpri(Random 、 
Kpri(Random).Cert 验证 Cert 计 算 
| 一 Kpub(Kpri(Random)) 
并 与 Random 比 较 


图 316 基于 证 书 的 鉴别 过 程 示意 图 


验证 方向 用 户 提供 一 个 随机 数 ;用 户 以 其 私 钥 Kpri 对 随机 数 进行 签名 ,将 签名 和 自己 
的 证 书 提交 给 验证 方 ;验证 方 验证 证 书 的 有 效 性 ,从 证 书 中 获得 用 户 公 钥 Kpub, 以 Kpub 验 
证 用 户 签名 的 随机 数 。 


3.6.2 基于 零 知 识 证 明 的 识别 技术 


零 知识 证 明 是 这 样 一 种 技术 . 即 当 示 证 者 P 掌握 某 些 秘密 信息 ,P 设法 向 验证 者 V 证 明 
自己 掌握 这 些 信 息 ,验证 者 V 可 以 验证 P 是 否 真 的 掌握 这 些 秘密 信息 ,但 同时 P 又 不 想 让 
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V 也 知道 那些 信息 (如 果 连 V 都 不 知道 那些 秘密 信息 ,第 三 者 想 盗 取 那 些 信息 当然 就 更 难 
了 ) 。 该 技术 比 传统 的 密码 技术 更 安全 ,并 且 使 用 更 少 的 处 理 资源 。 但 是 它 需 要 更 复杂 的 数 
据 交换 协议 ,需要 更 多 的 数据 传输 ,因此 会 消耗 大 量 通信 资源 。 

一 般 来 说 ,被 示 证 者 了 掌握 的 秘密 信息 可 以 是 某 些 长 期 没有 解决 的 猜想 问题 。 如 大 整 
数 因 式 分 解 和 求解 离散 对 数 问题 等 ,还 可 以 是 一 些 单 向 函数 等 。 但 信息 的 本 质 是 可 以 验证 
的 , 即 可 通过 具体 的 步骤 来 检测 它 的 正确 性 。 

安全 的 身份 识别 协议 至 少 应 满足 两 个 条 件 : 

(1) 识别 者 A 能 向 验证 者 B 证 明 他 的 确 是 A( 生 活 中 ,有 时 要 付出 昂贵 代价 ,如 王佐 断 
臂 、 荆 町 献 樊 於 期 之 头 ; 有 时 很 简单 ,但 要 满足 (2) 就 难 。 信 息 系统 不 同 ,难度 也 不 同 。) 

(2) 在 识别 者 A 向 验证 者 B 证 明 他 的 身份 后 ,验证 者 B 没有 获得 任何 有 用 的 信息 ,B 不 
能 模仿 A 向 第 三 方 证 明 他 是 A( 不 可 传递 ,很 难 ,如 电影 ( 追 鱼 》)。 

常用 的 识别 协议 包括 询问 -应 答 和 零 知 识 。 

(1) 询问 -应 答 协议 是 验证 者 提出 问题 (通常 是 随机 选择 一 些 随机 数 , 称 作 口 令 ), 由 识别 
者 回答 ,然后 验证 者 验证 其 真实 性 (如 盘问 或 黑 话 ) 。 

(2) 零 知 识 身 份 识 别 协议 是 称 为 证 明 者 的 一 方 试图 使 被 称 为 验证 者 的 另 一 方 相信 某 个 
论断 是 正确 的 , 却 又 不 向 验证 者 提供 任何 有 用 的 信息 。 

零 知 识 证 明 的 基本 思想 是 向 别人 证 明 你 知道 某 种 事物 或 具有 某 种 东西 ,而 且 别 人 并 不 
能 通过 你 的 证 明知 道 这 个 事物 或 这 个 东西 ,也 就 是 不 泄露 你 掌握 的 这 些 信 息 。 

零 知 识 证 明 条 件 包 括 : 最 小 泄露 证 明 (minimum disclosure proof) 和 零 知 识 证 明 (zero 
knowledge proof) 。 

现在 假设 用 了 表示 示 证 者 ,V 表示 验证 者 ,要 求 : 

(1) 示 证 者 P 几乎 不 可 能 欺骗 验证 者 , 若 P 知道 证 明 , 则 可 使 V 几乎 确信 了 知道 证 明 ， 
若 P 不 知道 证 明 , 则 他 使 V 相信 他 知道 证 明 的 概率 几 近 于 零 。 

(2) 验证 者 几乎 不 可 能 得 到 证 明 的 信息 ,特别 是 他 不 可 能 向 其 他 人 出 示 此 证 明 。 

(3) 而 零 知 识 证 明 除 了 以 上 两 个 条 件 外 ,还 要 满足 : 验证 者 从 示 证 者 那里 得 不 到 任何 有 
关 证 明 的 知识 。 

Quisquater 等 人 给 出 了 一 个 解释 零 知 识 证 明 的 通俗 例子 , 即 
零 知识 洞穴 ,如 图 3. 17 所 示 。 

零 知 识 证 明 的 基本 协议 假设 P 知道 咒语 ,可 打开 C 和 D 之 
间 的 密 门 ,不 知道 者 都 将 走向 死胡同 。 下 面 的 协议 就 是 P 向 V 
证 明 他 知道 这 个 秘密 (钥匙 ) ,但 又 不 让 V 知道 这 个 秘密 (如 蒙 眼 
认 人 )。 验 证 协议 为 : 

(1) V 站 在 A 点 。 

(2) P 进入 洞 中 任 一 点 C 或 D。 

(3) P 进 入 洞 之 后 ,V 走 到 B 点 。 

(4) V 叫 P 从 左边 出 来 或 从 右边 出 来 。 

(5) P 按 照 V 的 要 求实 现 (因为 P 知道 该 咒语 ) 。 

(6) P 和 V 重复 执行 上 面 的 过 程 N 次 。 

如 果 每 次 P 都 走 正确 , 则 认为 P 知道 这 个 咒语 。P 的 确 可 以 使 V 确信 他 知道 该 咒语 ,但 
V 在 这 个 证 明 过 程 中 的 确 没 有 获得 任何 关于 咒语 的 信息 。 该 协议 是 一 个 完全 的 零 知 识 证 
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明 。 如 果 将 关于 零 知识 洞穴 的 协议 中 了 掌握 的 吕 语 换 为 一 个 数学 难题 ,而 P 了 知道 如 何 解 这 
个 难题 ,就 可 以 设计 实用 的 零 知 识 证 明 协议 。 


3.7 物 联网 密 钥 管理 机 制 


密 钥 一 般 泛 指 生产 和 生活 中 所 应 用 到 的 各 种 加 密 技术 ,能 够 对 个 人 资料 或 企业 机 密 进 
行 有 效 的 监管 , 密 钥 管理 就 是 指 对 密 钥 进行 管理 的 行为 ,如 加 密 、 解 密 和 破解 等 等 。 

密 钥 管理 包括 从 密 钥 的 产生 到 密 钥 的 销毁 的 各 个 方面 。 主 要 表现 于 管理 体制 .管理 协 
议和 密 钥 的 产生 、 分 配 .更换 和 注 人 等。 对 于 军用 计算 机 网 络 系统 ,由 于 用 户 机 动 性 强 , 隶 属 
关系 和 协同 作战 指挥 等 方式 复杂 ,因此 ,对 密 钥 管理 提出 了 更 高 的 要 求 。 


3.7.1 密 钥 管 理 流程 


1. 密 钥 生成 


密 钥 长 度 应 该 足够 长 。 一 般 来 说 , 密 钥 长 度 越 大 ,对 应 的 密 钥 空间 就 越 大 ,攻击 者 使 用 
穷 举 猜测 密码 的 难度 就 越 大 。 

选择 好 密 钥 ,避免 弱 密 钥 。 由 自动 处 理 设备 生成 的 随机 的 比特 串 是 好 密 钥 。 选 择 密 钥 
时 ,应 该 避免 选择 一 个 弱 密 钥 。 

对 公 钥 密码 体制 来 说 , 密 钥 生成 更 加 困难 ,因为 密 钥 必须 满足 某 些 数学 特征 。 

密 钥 生成 可 以 通过 在 线 或 离线 的 交互 协商 方式 实现 ,如 密码 协议 等 。 


2. 密 钥 分 发 


采用 对 称 加 密 算 法 进行 保密 通信 ,需要 共享 同一 密 钥 。 通 常 是 系统 中 的 一 个 成 员 先 选 
择 一 个 秘密 密 钥 ,然后 将 它 传送 另 一 个 成 员 或 别 的 成 员 。X9. 17 标准 描述 了 两 种 密 钥 : 密 
钥 加 密 密 钥 和 数据 密 钥 。 密 钥 加 密 密 钥 对 其 他 需要 分 发 的 密 钥 进 行 加 密 ; 而 数据 密 钥 只 对 
信息 流 进行 加 密 。 密 钥 加 密 密 钥 一 般 通 过 手工 分 发 。 为 增强 保密 性 ,也 可 以 将 密 钥 分 成 许 
多 不 同 的 部 分 ,然后 用 不 同 的 信道 发 送出 去 。 


3. 验证 密 钥 


密 钥 附着 一 些 检 错 和 纠 错位 来 传输 , 当 密 钥 在 传输 中 发 生 错 误 时 ,能 很 容易 地 被 检查 出 
来 ,并 且 如 果 需 要 , 密 钥 可 被 重 传 。 

接收 端 也 可 以 验证 接收 的 密 钥 是 否 正 确 。 发 送 方 用 密 钥 加 密 一 个 常量 ,然后 把 密 文 的 
前 2 一 4B 与 密 钥 一 起 发 送 。 在 接收 端 做 同样 的 工作 ,如 果 接 收 端 解密 后 的 常数 能 与 发 送 端 
常数 匹配 , 则 传输 无 错 。 


4. 更 新 密 钥 


当 密 钥 需要 频繁 地 改变 时 ,频繁 进行 新 的 密 钥 分 发 的 确 是 困难 的 事 , 一 种 更 容易 的 解决 
办 法 是 从 旧 的 密 钥 中 产生 新 的 密 钥 ,有 时 称 为 密 钥 更 新 。 可 以 使 用 单 向 函数 更 新 密 钥 。 如 
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果 双 方 共享 同一 密 钥 ,并 用 同一 个 单 向 函数 进行 操作 ,就 会 得 到 相同 的 结果 。 
5. 密 钥 存储 


密 钥 可 以 存储 在 人 的 大 脑 、 磁 条 卡 或 智能 卡 中 ;也 可 以 把 密 钥 平分 成 两 部 分 ,一 半 存 人 
终端 , 另 一 半 存 人 ROM。 还 可 采用 类 似 于 密 钥 加 密 密 钥 的 方法 对 难以 记忆 的 密 钥 进 行 加 密 
保存 。 


6. 备份 密 钥 


密 钥 的 备份 可 以 采用 密 钥 托管 .秘密 分 割 和 秘密 共享 等 方式 。 

最 简单 的 方法 是 使 用 密 钥 托管 中 心 。 密 钥 托 管 要 求 所 有 用 户 将 自己 的 密 钥 交 给 密 钥 托 
管 中 心 ,由 密 钥 托管 中 心 备 份 保管 密 钥 (如 锁 在 某 个 地 方 的 保险 柜 里 ,或 用 主 密 钥 对 它们 进 
行 加 密 保存 ) ,一 旦 用 户 的 密 钥 丢失 (如 用 户 遗 忘 了 密 钥 或 用 户 意外 死亡 ) ,按照 一 定 的 规章 
制度 ,可 从 密 钥 托 管 中 心 索取 该 用 户 的 密 钥 。 

一 个 备份 方案 是 用 智能 卡 作为 临时 密 钥 托管 。 如 Alice 把 密 钥 存 人 智能 卡 , 当 Alice 
不 在 时 就 把 它 交 给 Bob,Bob 可 以 利用 该 卡 进行 Alice 的 工作 ; 当 Alice 回来 后 ,Bob 交还 该 
卡 ,由 于 密 钥 存放 在 卡 中 ,所 以 Bob 不 知道 密 钥 是 什么 。 

秘密 分 割 是 把 秘密 分 割 成 许多 碎片 ,每 一 片 本 身 并 不 代表 什么 ,但 把 这 些 碎片 放 到 一 
起 ,秘密 就 会 重 现 出 来 。 

一 个 更 好 的 方法 是 采用 一 种 秘密 共享 协议 。 将 密 钥 下 分 成 块 ,每 部 分 叫做 它 的 “ 影 
子 ”, 知 道 任意 m 个 或 更 多 的 块 就 能 够 计算 出 密 钥 KK ,知道 任意 mw 一 1 个 或 更 少 的 块 都 不 能 
够 计算 出 密 钥 民 , 这 叫做 (> ,zz 门限 ( 阔 值 方案 。 目 前 ,人 们 基于 拉 格 朗 日 内 搬 多 项 式 法 、 
射影 几何 、 线 性 代数 和 孙子 定理 等 提出 了 许多 秘密 共享 方案 。 

拉 格 朗 日 插值 多 项 式 方案 是 一 种 易于 理解 的 秘密 共享 (m,n) 门 限 方案 。 

秘密 共享 解决 了 两 个 问题 : 一 是 若 密 钥 偶然 或 有 意 地 被 暴露 ,整个 系统 就 易 受 攻击 ;二 
是 若 密 钥 丢 失 或 损坏 ,系统 中 的 所 有 信息 就 不 能 用 了 。 


7. 密 钥 有 效 期 


加 密 密 钥 不 能 无 限期 使 用 ,这 是 由 于 以 下 几 个 原因 : 密 钥 使 用 时 间 越 长 , 它 泄露 的 机 会 
就 越 大 ;如 果 密 钥 已 泄露 ,那么 密 钥 使 用 越久 ,损失 就 越 大 ; 密 钥 使 用 越久 ,人 们 花费 精力 破 
译 它 的 诱惑 力 就 越 大 ,甚至 采用 穷 举 攻 击 法 ;对 用 同一 密 钥 加 密 的 多 个 密 文 进行 密码 分 析 一 
般 比 较 容易 。 

不 同 密 钥 应 有 不 同 有 效 期 。 

数据 密 钥 的 有 效 期 主要 依赖 数据 的 价值 和 给 定时 间 里 加 密 数 据 的 数量 。 价 值 与 数据 传 
送 率 越 大 ,所 用 的 密 钥 更 换 就 应 该 越 频繁 。 

密 钥 加 密 密 钥 无 须 频繁 更 换 , 因 为 它们 只 是 偶尔 地 用 作 密 钥 交 换 。 在 某 些 应 用 中 , 密 钥 

加 密 密 钥 仅 一 月 或 一 年 更 换 一 次 。 
昌 来 加 密 保 存 数据 文件 的 加 密 密 钥 不 能 经 常 地 变换 。 通 常 是 每 个 文件 用 唯一 的 密 钥 加 
密 , 然 后 再 用 密 钥 加 密 密 钥 把 所 有 密 钥 加 密 , 密 钥 加 密 密 钥 要 么 被 记忆 下 来 ,要 么 保存 在 一 
个 安全 地 点 。 当 然 ,丢失 该 密 钥 意味 着 丢失 所 有 的 文件 加 密 密 钥 。 

公开 密 钥 密码 应 用 中 的 私 钥 的 有 效 期 是 根据 应 用 的 不 同 而 变化 的 。 用 作 数 字 签名 和 身 
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份 识别 的 私 钥 必须 持续 数 年 (甚至 终身 ), 用 作 抛掷 硬币 协议 的 私 钥 在 协议 完成 之 后 就 应 该 


立即 销毁 。 即 使 期 望 密 钥 的 安全 性 持续 终身 ,两 年 更 换 一 次 密 钥 也 是 要 考虑 的 。 旧 密 钥 仍 
需 保 密 , 以 防 用户 需 要 验证 从 前 的 签名 ;而 新 密 钥 将 用 作 新 文件 签名 ,以 减少 密码 分 析 者 所 


能 攻击 的 签名 文件 数目 。 
8. 销毁 密 钥 
如 果 密 钥 必须 蔡 换 , 旧 密 钥 就 必须 销毁 , 密 钥 必须 物理 地 销毁 。 
9. 密 钥 管理 


公开 密 钥 密码 使 得 密 钥 较 易 管 理 。 无 论 网 络 上 有 多 少 人 ,每 个 人 只 有 一 个 公开 密 钥 。 

使 用 一 个 公 钥 / 私 钥 密 钥 对 是 不 够 的 。 任 何 好 的 公 钥 密码 的 实现 需要 把 加 密 密 钥 和 数 
字 签 名 密 钥 分 开 。 但 单独 一 对 加 密 和 签名 密 钥 还 是 不 够 的 。 像 身份 证 一 样 , 私 钥 证 明了 一 
种 关系 ,而 人 不 止 有 一 种 关系 。 如 Alice 分 别 可 以 以 私人 名 义 或 公司 的 副 总 裁 等 名 义 给 某 个 
文件 签名 。 


3.7.2 密 钥 管理 系统 


网 络 系统 安全 中 对 密 钥 的 安全 控制 和 管理 是 应 用 系统 安全 的 关键 。 例 如 ,在 国内 银行 
间 使 用 的 (RT-KMS 密 钥 管理 系统 ) 就 遵循 (中 国 金融 集成 电路 (IC) 卡 规范 (v 1.0)》 和 《银行 
IC 卡 联合 试点 技术 方案 》, 方 便 各 成 员 银行 自主 发 卡 ,实现 读 卡 机 具 共 享 ,完成 异地 跨行 
交易 。 


1. 安全 机 制 


在 全 国 银行 IC 卡 联合 试点 中 ,各 级 银行 利用 密 钥 管理 系统 来 实现 密 钥 的 安全 管理 。 密 
钥 管 理 系统 采用 3DES 加 密 算法 ,运用 中 国人 民 银 行 总 行 .人民 银 行 地 区 分 行 (商业 银行 总 
行 ) 和 成 员 银行 三 级 管理 体制 ,安全 共享 公共 主 密 钥 ,实现 卡片 互通 .机 具 共享 。 

整个 安全 体系 结构 主要 包括 3 类 密 钥 : 全 国 通用 的 总 行 消费 /取现 主 密 钥 GMPK ` 发 卡 
银行 的 消费 /取现 主 密 钥 MPK 和 发 卡 银行 的 其 他 主 密 钥 。 根 据 密 钥 的 用 途 , 系 统 采用 不 同 
的 处 理 策略 。 


2. 设计 原则 


(1) 密 钥 管理 系统 采用 3DES 加 密 算 法 ,运用 中 国人 民 银 行 总 行 ,人民 银 行 地 区 分 行 ( 商 
业 银 行 总 行 ) 和 成 员 银行 三 级 管理 体制 ,实现 公共 主 密 钥 的 安全 共享 。 

(2) 在 充分 保证 密 钥 安全 性 的 基础 上 ,支持 IC 卡 联合 试点 密 钥 的 生成 注入、 导出、 备 
份 ,恢复 .更 新 和 服务 等 功能 ,实现 密 钥 的 安全 管理 。 

(3) 密 钥 受到 严格 的 权限 控制 ,不 同 机 构 或 人 员 对 不 同 密 钥 的 读 、 写 .更 新 和 使 用 等 操 
作 具 有 不 同 的 权限 。 

(4) 用 户 可 根据 实际 使 用 的 需要 ,选择 密 钥 管理 系统 的 不 同 配置 和 不 同 功 能 。 

(5) 密 钥 服务 一 般 以 硬件 加 密 机 的 形式 提供 ,也 可 采用 密 钥 卡 的 形式 。 

(6) 密 钥 存储 以 密 钥 卡 或 硬件 加 密 机 的 形式 ,而 密 钥 备 份 可 以 采用 密 钥 卡 或 密码 信封 
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的 形式 。 
3.7.3 密 钥 管理 技术 


密 钥 管理 技术 可 分 为 以 下 4 类 。 
1. 对 称 密 钥 管理 


对 称 加 密 是 基于 共同 保守 秘密 来 实现 的 。 采 用 对 称 加 密 技术 的 通信 双方 必须 要 保证 采 
用 的 是 相同 的 密 钥 ,要 保证 彼此 密 钥 的 交换 是 安全 可 靠 的 ,同时 还 要 设 定 防 止 密 钥 泄 露 和 更 
改 密 钥 的 程序 。 这 样 ,对 称 密 钥 的 管理 和 分 发 工作 将 变 成 一 件 具 有 潜在 危险 的 和 繁琐 的 
过 程 。 

通过 公开 密 钥 加 密 技术 实现 对 称 密 钥 的 管理 使 相应 的 管理 变 得 简单 和 更 加 安全 ,同时 
还 解决 了 纯 对 称 密 钥 模式 中 存在 的 可 靠 性 问题 和 鉴别 问题 。 

双方 可 以 为 每 次 交换 的 信息 (如 每 次 的 EDI 交换 ) 生 成 唯一 一 把 对 称 密 钥 并 用 公开 密 钥 
对 该 密 钥 进行 加 密 ,然后 再 将 加 密 后 的 密 钥 和 用 该 密 钥 加 密 的 信息 (如 EDI 交换 ) 一 起 发 送 
给 相应 的 贸易 方 。 由 于 对 每 次 信息 交换 都 对 应 生成 了 唯一 一 把 密 钥 ,因此 各 方 就 不 再 需要 
对 密 钥 进行 维护 和 担心 密 钥 的 泄露 或 过 期 。 这 种 方式 的 另 一 优点 是 ,即使 泄露 了 一 把 密 钥 ， 
也 只 将 影响 一 笔 交易 ,而 不 会 影响 到 双方 之 间 所 有 的 交易 关系 。 这 种 方式 还 提供 了 贸易 伙 
伴 间 发 布 对 称 密 钥 的 一 种 安全 途径 。 


2. 公开 密 钥 管理 /数字 证 书 


贸易 伙伴 间 可 以 使 用 数字 证 书 (公开 密 钥 证 书 ) 来 交换 公开 密 钥 。 国 际 电信 联盟 (ITU) 
制定 的 标准 X. 509 对 数字 证 书 进 行 了 定义 ,该 标准 等 同 于 国际 标准 化 组 织 (ISO) 与 国际 电 
工 委员 会 (IEC) 联 合 发 布 的 ISO/IEC 9594-8:195 标准 。 数 字 证 书 通 常 包 含有 唯一 标识 证 书 
所 有 者 ( 即 贸易 方 ) 的 名 称 \ 唯 一 标识 证 书 发 布 者 的 名 称 、 证 书 所 有 者 的 公开 密 钥 ,证 书 发 布 
者 的 数字 签名 、 证 书 的 有 效 期 及 证 书 的 序列 号 等 。 证书 发 布 者 一 般 称 为 证 书 管理 机 构 
(CA), 它 是 贸易 各 方 都 信赖 的 机 构 。 数 字 证 书 能 够 起 到 标识 贸易 方 的 作用 ,是 目前 电子 商 
务 广泛 采用 的 技术 之 一 。 

3. 密 钥 管 理 相关 的 标准 规范 

目前 国际 有 关 的 标准 化 机 构 都 着 手 制定 关于 密 钥 管理 的 技术 标准 规范 。ISO 与 IEC 下 
属 的 信息 技术 委员 会 (JTC1) 已 起 草 了 关于 密 钥 管理 的 国际 标准 规范 。 该 规范 主要 由 3 部 


分 组 成 : 一 是 密 钥 管 理 框架 ,二 是 采用 对 称 技术 的 机 制 ,三 是 采用 非 对 称 技术 的 机 制 。 该 规 
范 现 已 进入 到 国际 标准 草案 表决 阶段 ,并 将 很 快 成 为 正式 的 国际 标准 。 


4. 数字 签名 


数字 签名 是 公开 密 钥 加 密 技 术 的 另 一 类 应 用 。 它 的 主要 方式 是 : 报 文 的 发 送 方 从 报 文 
文本 中 生成 一 个 128 位 的 散 列 值 (或 报 文摘 要 )。 发 送 方 用 自己 的 专用 密 钥 对 这 个 散 列 值 进 
行 加 密 来 形成 发 送 方 的 数字 签名 。 然 后 ,这 个 数字 签名 将 作为 报 文 的 附件 和 报 文 一 起 发 送 
给 报 文 的 接收 方 。 报 文 的 接收 方 首先 从 接收 到 的 原始 报 文中 计算 出 128 位 的 散 列 值 (或 报 
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文摘 要 ) ,接着 再 用 发 送 方 的 公开 密 钥 来 对 报 文 附加 的 数字 签名 进行 解密 。 如 果 两 个 散 列 值 
相同 ,那么 接收 方 就 能 确认 该 数字 签名 是 发 送 方 的 。 通 过 数字 签名 能 够 实现 对 原始 报 文 的 
鉴别 和 不 可 抵赖 性 。 

国际 标准 组 织 ISO/VIEC JTC1 已 在 起 草 有 关 的 国际 标准 规范 。 该 标准 的 初步 题目 是 
《信息 技术 安全 技术 带 附 件 的 数字 签名 方案 》, 它 由 概述 和 基于 身份 的 机 制 两 部 分 构成 。 


3.7.4 物 联网 密 钥 管理 系统 设计 


1. 物 联 网 密 钥 管理 系统 面临 的 主要 问题 


物 联网 密 钥 管 理 系统 面临 两 个 主要 问题 : 

(1) 如 何 构建 一 个 贯穿 多 个 网 络 的 统一 密 钥 管理 系统 ,并 与 物 联网 的 体系 结构 相 适 应 。 
(2) 如 何 解决 传感器 网 络 的 密 钥 管理 问题 ,如 密 钥 的 分 配 ,更 新 和 组 播 等 问题 。 

针对 以 上 两 个 主要 问题 ,实现 统一 的 密 钥 管理 系统 可 以 采用 两 种 方式 : 

(1) 以 互联 网 为 中 心 的 集中 式 管 理 方式 。 

(2) 以 各 自 网 络 为 中 心 的 分 布 式 管理 方式 。 


2. 物 联 网 的 密 钥 管理 系统 设计 需求 


物 联网 的 密 钥 管理 系统 的 设计 在 很 大 程度 上 受到 其 自身 特征 的 限制 ,因此 在 设计 需求 
上 与 有 线 网 络 和 传统 的 资源 不 受 限制 的 无 线 网 络 有 所 不 同 ,特别 要 充分 考虑 到 无 线 传感器 
网 络 传 感 节点 的 限制 和 网 络 组 网 与 路 由 的 特征 。 它 的 安全 需求 主要 体现 在 以 下 几 点 : 

1) 密 钥 生成 或 更 新 算法 的 安全 性 

利用 该 算法 生成 的 密 钥 应 具备 一 定 的 安全 强度 ,不 能 被 网 络 攻 击 者 轻易 破解 或 者 花 很 
小 的 代价 破解 , 即 加 密 后 保障 数据 包 的 机 密 性 。 

2) 前 向 私密 性 

对 中 途 退 出 传感器 网 络 或 者 被 俘获 的 恶意 节点 ,在 周期 性 的 密 钥 更 新 或 者 撤销 后 无 法 
再 利用 先前 所 获知 的 密 钥 信息 生成 合法 的 密 钥 继续 参与 网 络 通信 , 即 无 法 参与 报 文 解密 或 
者 生成 有 效 的 可 认证 的 报 文 。 

3) 后 向 私密 性 和 可 扩展 性 

新 加 入 传感器 网 络 的 合法 节点 可 利用 新 分 发 或 者 周期 性 更 新 的 密 钥 参与 网 络 的 正常 通 
信 , 即 进行 报 文 的 加 解密 和 认证 行为 等 。 而 且 能 够 保障 网 络 是 可 扩展 的 , 即 允许 大 量 新 节点 
的 加 入 。 

4) 抗 同谋 攻击 

在 传感器 网 络 中 ,若干 节点 被 俘获 后 ,其 所 掌握 的 密 钥 信息 可 能 会 造成 网 络 局 部 范围 的 
泄密 ,但 不 应 对 整个 网 络 的 运行 造成 破坏 性 或 损毁 性 的 后 果 , 即 密 钥 系统 要 具有 抗 同 谋 攻 击 
能 力 。 

5) 源 端 认 证 性 和 新 鲜 性 

源 端 认 证 要 求 发 送 方 身份 的 可 认证 性 和 消息 的 可 认证 性 , 即 任何 一 个 网 络 数据 包 都 能 
通过 认证 和 追踪 寻找 到 其 发 送 源 , 且 是 不 可 否认 的 。 新 鲜 性 则 保证 合法 的 节点 在 一 定 的 延 
迟 许 可 内 能 收 到 所 需要 的 信息 。 新 鲜 性 除了 和 密 钥 管理 方案 紧密 相关 外 ,与 传感器 网 络 的 
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时 间 同 步 技术 和 路 由 算法 也 有 很 大 的 关联 。 
3. 物 联网 的 密 钥 管理 系统 实现 方法 


根据 这 些 要 求 ,在 密 钥 管理 系统 的 实现 方法 中 ,人 们 提出 了 基于 对 称 密 钥 系统 的 方法 和 
基于 非 对 称 密 钥 系统 的 方法 。 在 基于 对 称 密 钥 的 管理 系统 方面 ,从 分 配方 式 上 也 可 分 为 以 
下 3 类 : 基于 密 钥 分 配 中 心 方式 、 预 分 配方 式 和 基于 分 组 分 簇 方 式 。 

与 非 对称 密 钥 系 统 相 比 ,对 称 密 钥 系统 在 计算 复杂 度 方面 具有 优势 ,但 在 密 钥 管理 和 安 
全 性 方面 却 有 不 足 。 特 别 是 在 物 联 网 环境 下 ,如何 实 现 与 其 他 网 络 的 密 钥 管理 系统 的 融合 
是 值得 探讨 的 问题 。 

近 几 年 作为 非 对 称 密 钥 系统 的 基于 身份 标识 的 加 密 算法 (Identity-Based Encryption， 
IBE) 引 起 了 人 们 的 关注 。 该 算法 的 主要 思想 是 : 加 密 的 公 钥 不 需要 从 公 钥 证 书 中 获得 ,而 
是 直接 使 用 标识 用 户 身份 的 字符 串 。 

然而 ,在 Shamir 提出 IBE 算法 后 的 很 长 一 段 时 间 ,都 没有 能 找到 合适 的 实现 方法 。 直 
到 2001 年 ,可 实用 的 IBE 算法 由 Boneh 等 提出 ,算法 利用 椭圆 曲线 双 线 性 映射 (bilinear 
map) 来 实现 。 基 于 身份 标识 加 密 算法 具有 一 些 特征 和 优势 ,主要 体现 在 : 

(1) 它 的 公 钥 可 以 是 任何 唯一 的 字符 串 , 如 E-mail、 身 份 证 或 者 其 他 标识 ,不 需要 
PKI 系统 的 证 书 发 放 , 使 用 起 来 简单 。 

(2) 由 于 公 钥 是 身份 等 标识 ,所 以 ,基于 身份 标识 的 加 密 算 法 解决 了 密 钥 分 配 的 问题 。 

(3) 基于 身份 标识 的 加 密 算法 具有 比 对 称 加 密 算法 更 高 的 加 密 强度 。 在 同等 安全 级 别 
条 件 下 , 比 其 他 公 钥 加 密 算法 有 更 小 的 参数 ,因而 具有 更 快 的 计算 速度 和 更 小 的 存储 空间 。 

IBE 加 密 算法 一 般 由 4 部 分 组 成 : 系统 参数 建立 、 密 钥 提 取 、 加 密 和 解密 。 


3.8 物 联网 数据 处 理 与 隐私 性 


物 联 网 的 数据 要 经 过 信息 感知 获取、 汇聚 .融合 ,传输 存储、 挖掘 ,决策 和 控制 等 处 理 
流程 ,而 末端 的 感知 网 络 几乎 要 涉及 上 述 信息 处 理 的 全 过 程 , 只 是 由 于 传 感 节点 与 汇聚 点 的 
资源 限制 ,在 信息 的 挖掘 和 决策 方面 不 占据 主要 的 位 置 。 物 联网 应 用 不 仅 面临 信息 采集 的 
安全 性 ,也 要 考虑 到 信息 传送 的 私密 性 ,要 求 信息 不 能 被 自 改 和 非 授 权 用 户 使 用 ,同时 ,还 要 
考虑 到 网 络 的 可 靠 、 可 信和 安全 。 物 联网 能 否 大 规模 推广 应 用 ,很 大 程度 上 取决 于 其 是 否 能 
够 保障 用 户 数据 和 隐私 的 安全 。 

就 传感器 网 络 而 言 ,在 信息 的 感知 采集 阶段 就 要 进行 相关 的 安全 处 理 , 如 对 RFID 采集 
的 信息 进行 轻 量 级 的 加 密 处 理 后 ,再 传送 到 汇聚 节点 。 这 里 要 关注 的 是 对 光学 标签 的 信息 
采集 处 理 与 安全 ,作为 感知 端的 物体 身份 标识 ,光学 标签 显示 了 独特 的 优势 ,而 虚拟 光学 的 
加 密 解 密 技术 为 基于 光学 标签 的 身份 标识 提供 了 手段 ,基于 软件 的 虚拟 光学 密码 系统 由 于 
可 以 在 光波 的 多 个 维度 进行 信息 的 加 密 处 理 , 具 有 比 一 般 传 统 的 对 称 加 密 系统 有 更 高 的 安 
全 性 ,数学 模型 的 建立 和 软件 技术 的 发 展 极 大 地 推动 了 该 领域 的 研究 和 应 用 推广 。 

数据 处 理 过 程 中 涉及 基于 位 置 的 服务 与 在 信息 处 理 过 程 中 的 隐私 保护 问题 。ACM 于 
2008 年 成 立 了 SIGSPATIAL (Special Interest Group of Spatial Information ) ,致力 于 空间 
信息 理论 与 应 用 研究 。 基 于 位 置 的 服务 是 物 联 网 提供 的 基本 功能 .是 定位 .电子 地 图 、 基 于 
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位 置 的 数据 挖掘 和 发 现 、 自 适应 表达 等 技术 的 融合 。 定 位 技术 目前 主要 有 GPS 定位 、 基 于 
手机 的 定位 和 无 线 传感器 网 络 定位 等 。 无 线 传感器 网 络 的 定位 主要 是 射频 识别 、 蓝 牙 及 
ZigBee 等 。 基 于 位 置 的 服务 面临 严峻 的 隐私 保护 问题 。 


习题 三 


. 简 述 密 码 学 的 定义 和 作用 。 

. 古典 密码 学 主要 分 成 哪 几 种 类 型 ? 请 详 述 其 中 一 种 。 

. 对 称 密码 系统 的 安全 性 依赖 于 哪些 因素 ? 对 称 密码 体制 的 特点 是 什么 ? 
. 什么 是 非 对 称 加 密 ( 即 公开 密 钥 系统 ,简称 公 钥 )? 

. 简 述 或 用 表格 进行 两 种 加 密 方式 的 比较 。 

. 加 密 算法 的 选择 主要 考虑 哪些 因素 ? 

. 公 钥 密码 系统 是 基于 陷 门 单 向 函数 的 概念 ,什么 是 陷 门 单 向 函数 ? 

. RSA 算法 是 一 种 分 组 密码 体制 算法 , 它 的 保密 强度 是 基于 什么 原理 ? 
. 简 述 数字 签名 的 概念 及 应 用 。 

. 身份 认证 是 通过 哪 几 种 基本 方式 或 其 组 合 方式 来 完成 的 ? 

. 电子 ID 身份 识别 主要 有 哪 几 种 方式 ? 

. 基于 零 知识 证 明 的 识别 技术 原理 是 什么 ? 

. 物 联网 密 钥 管 理 流程 有 哪些 步骤 ? 

. 物 联网 的 密 钥 管理 系统 设计 需求 是 什么 ? 


Oo 和 NRL- 
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第 4 章 RFID 系统 安全 与 隐私 


信息 采集 是 物 联 网 感知 识别 层 完成 的 功能 。 物 联网 中 感知 识别 层 主要 实现 智能 感知 功 
能 ,包括 信息 采集 ,捕获 和 物体 识别 。 感 知 延伸 层 的 关键 技术 包括 传感器 .RFID、 自 组 织 网 
络 , 短 距离 无 线 通信 和 低 功 耗 路 由 等 。 感 知 /延伸 层 的 安全 问题 主要 表现 为 相关 数据 信息 在 
机 密 性 、 完 整 性 和 可 用 性 方面 的 要 求 , 主 要 涉及 RFID、 传 感 技术 的 安全 问题 。 


4.1 RFID 安全 与 隐私 概述 


无 线 射频 识别 (RFID) 是 一 种 远程 存储 和 获取 数据 的 方法 ,其 中 使 用 了 一 个 称 为 标签 
(tag) 的 小 设备 。 在 典型 的 RFID 系统 中 ,每 个 物体 装配 着 这 样 一 个 小 的 、 低 成 本 的 标签 。 系 
统 的 目的 就 是 使 标签 发 射 的 数据 能 够 被 阅读 器 读 取 , 并 根据 特殊 的 应 用 需求 由 后 台 服务 器 进 
行 处 理 。 标 签发 射 的 数据 可 能 是 身份 ,位置 信息, 或 携带 物体 的 价格 ,颜色 以 及 购买 数据 等 。 

RFID 标签 被 认为 是 条 码 的 替代, 具有 体积 小 .易于 嵌入 物体 中 ,无 须 接触 就 能 大 量 地 进 
行 读 取 等 优点 。 另 外 ,REFID 标识 符 较 长 ,可 使 每 一 个 物体 具有 一 个 唯一 的 编码 ,唯一 性 使 得 
物体 的 跟踪 成 为 可 能 。 该 特征 可 帮助 企业 防止 偷盗 ,改进 库存 管理 ,方便 商店 和 仓库 的 清 
点 。 此 外 ,使 用 RFID 技术 可 极 大 地 减少 消费 者 在 付款 柜台 前 的 等 待 时 间 。 

但 是 , 随 着 RFID 能 力 的 提高 和 标签 应 用 的 日 益 普 及 ,安全 问题 ,特别 是 用 户 隐 私 问题 
变 得 日 益 严重 。 用 户 如 果 带 有 不 安全 的 标签 的 产品 , 则 可 能 在 用 户 没有 感知 的 情况 下 被 附 
近 的 阅读 器 读 取 , 从 而 泄露 个 人 的 敏感 信息 ,例如 人 金钱、 药物 (与 特殊 的 疾病 相关 联 ) \ 书 (可 
能 包含 个 人 的 特殊 喜好 ) 等 ,特别 是 可 能 暴露 用 户 的 位 置 隐私 ,使 得 用 户 被 跟踪 。 

因此 ,在 应 用 RFID 时 ,必须 仔细 分 析 存在 的 安全 威胁 ,研究 和 采取 适当 的 安全 措施 , 既 
需要 技术 方面 的 措施 ,也 需要 政策 、 法 规 方面 的 制约 。 


4.1.1 RFID 基本 组 成 架构 


1. 系统 组 成 


RFID 系统 一 般 由 3 大 部 分 构成 : 标签 . 读 写 器 以 及 后 台数 据 库 ,如 图 4. 1 所 示 。 

1) 标签 

标签 放置 在 要 识别 的 物体 上 ,携带 目标 识别 数据 ,是 RFID 系统 真正 的 数据 载体 ,由 看 
合 元 件 以 及 微 电 子 芯 片 (包含 调制 器 、 编 码 发 生 器 .时 钟 及 存储 器 ) 组 成 。 

2) 阅读 器 

阅读 器 用 于 阅读 或 读 / 写 标签 数据 的 装置 ,由 射频 模块 (发 送 器 和 接收 器 ) .控制 单元 以 
及 与 标签 连接 的 耦合 单元 组 成 。 
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图 41 RAD 基本 组 成 架构 
3) 后 台 服 务 器 


后 台 服 务 器 包含 数据 库 处 理 系统 ,存储 和 管理 标签 的 相关 信息 ,如 标签 标识 .阅读 器 定 
位 和 读 取 时 间 等 。 后 台 服 务 器 接收 来 自 可 信 的 阅读 器 获得 的 标签 数据 ,将 数据 输入 到 它 自 
身 的 数据 库 里 , 且 提 供 对 访问 标签 相关 数据 的 编号 。 


2. 工作 原理 


RFID 系统 的 基本 工作 原理 是 : 阅读 器 与 标签 之 间 通 过 无 线 信号 建立 双方 通信 的 通道 ， 
阅读 器 通过 天 线 发 出 电磁 信号 ,电磁 信和 号 携带 了 阅读 器 向 标签 的 查询 指令 。 当 标签 处 于 阅 
读 器 工作 范围 时 ,标签 将 从 电磁 信号 中 获得 指令 数据 和 能 量 , 并 根据 指令 将 标签 标识 和 数据 
以 电磁 信号 的 形式 发 送 给 阅读 器 ,或 根据 阅读 器 的 指令 改写 存储 在 RFID 标签 中 的 数据 。 
阅读 器 可 接收 RFID 标签 发 送 的 数据 或 向 标签 发 送 数据 ,并 能 通过 标准 接口 与 后 台 服 务 器 
通信 网 络 进行 对 接 , 实 现 数据 的 通信 传输 。 

根据 标签 能 量 获取 方式 ,RFID 系统 工作 方式 可 分 为 近 距 离 的 电感 耦合 方式 和 远 距 离 的 
电磁 耦合 方式 。 


3. 标签 与 读 写 器 之 间 的 通信 信道 


标签 是 配备 有 天 线 的 微型 电路 。 标 签 通常 没有 微 处 理 器 , 仅 由 数 千 个 逻辑 门 电 路 组 成 ， 
因此 要 将 加 密 或 者 签名 算法 集成 到 这 类 设备 中 确实 是 一 个 不 小 的 挑战 。 标 签 和 读 写 器 之 间 
的 通信 距离 受到 多 个 参数 特别 是 通信 频率 的 影响 。 读 写 器 实际 是 一 个 带 有 天 线 的 无 线 发 射 
与 接收 设备 , 它 的 处 理 能 力 和 存储 空间 都 比较 大 。 后 台数 据 库 可 以 是 运行 于 任意 硬件 平台 
的 数据 库 系 统 , 可 由 用 户 根 据 实 际 的 需要 自行 选择 ,通常 假设 其 计算 和 存储 能 力 强大 ,同时 
它 包含 所 有 标签 的 信息 。 

目前 主要 有 两 种 通信 频率 的 RFID 系统 共存 : 一 种 使 用 13. 56MHz, 另 一 种 使 用 860 一 
960MHz( 通 信 距 离 更 长 ) 。 

依据 标签 的 能 量 来 源 可 以 将 标签 分 为 3 大 类 : 被 动 式 标签 、 半 被 动 式 标签 以 及 主动 式 
标签 ,其 特点 见 表 4. 1 。 

表 4.1 标签 分 类 及 其 特点 

种 类 | 能 量 来 源 | 发 送 器 | 最 大 距离 /cem| 种 类 | 能量 来 源 | 发 送 器 | 最 大 距离 /cm 
被 动 式 标签 ”| 被 动 式 “| 被 动 10 主动 式 标签 、| 内 部 电池 | 主动 1000 
半 被 动 式 标签 | 内 部 电池 | 被 动 100 
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依据 其 功能 可 以 将 标签 分 为 5 大 类 : Class0、Classl1、Class2、Class3 和 Class4, 其 功能 依 
次 增强 , 见 表 4.2。 


表 4.2 标签 分 类 及 其 功能 


种 类 能 量 来 源 别 名 存 储 特 点 
Class0 被 动 式 防盗 窃 标 签 无 EAS 功能 
Classl 任意 EPC 只 读 仅 用 于 识别 
Class2 任意 EPC 读 写 数据 日 志 记录 
Class3 内 部 电池 传感器 标签 读 写 环境 传感器 
Class4 内 部 电池 智能 颗粒 读 写 自 组 网 络 


读 写 器 到 标签 之 间 的 信道 称 为 前 向 信道 (forward channel) ,而 标签 到 读 写 器 的 信道 则 
称 为 反 向 信道 (backward channel) 。 读 写 器 与 标签 的 无 线 功 率 差别 很 大 ,前 向 信道 的 通信 范 
围 远 远大 于 反 向 信道 的 通信 范围 。 这 种 固有 的 信道 非 对 称 性 自然 会 对 RFID 系统 安全 机 制 
的 设计 和 分 析 产 生 极 大 的 影响 。 

一 般 对 RFID 系统 做 如 下 基本 假设 : 标签 与 读 写 器 之 间 的 通信 信道 是 不 安全 的 ,而 读 写 
器 与 后 台数 据 库 之 间 的 通信 信道 则 是 安全 的 。 这 也 是 出 于 对 RFID 系统 设计 、 管 理 和 分 析 
方便 的 考虑 。 


4.1.2 REFID 的 安全 和 攻击 模式 


1. 信息 及 隐私 泄露 


信息 及 隐私 泄露 是 指 暴 露 标签 发 送 的 信息 ,该 信息 包括 标签 用 户 或 识别 对 象 的 相关 信 
息 。 例 如 , 当 RFID 标签 应 用 于 图 书馆 管理 时 ,图 书馆 信息 是 公开 的 ,读者 的 读书 信息 任何 
其 他 人 都 可 以 获得 。 当 RFID 标签 应 用 于 医院 处 方药 物 管理 时 ,很 可 能 暴露 药物 使 用 者 的 
病历 ,隐私 侵犯 者 可 以 通过 扫描 病人 服用 的 药物 推断 出 某 人 的 健康 状况 。 当 个 人 信息 ,比如 
电子 档案 或 生物 特征 添加 到 RFID 标签 里 时 ,标签 信息 泄露 问题 便 会 极 大 地 危害 个 人 隐私 。 

隐私 问题 主要 包括 如 下 一 些 方面 : 

1) 隐私 信息 泄露 

有 关 姓 名 和 医疗 记录 等 个 人 隐私 信息 可 能 会 泄露 。 

2) 跟踪 

对 用 户 进行 跟踪 和 监控 ,掌握 用 户 行为 规律 和 消费 喜好 等 ,然后 进行 进一步 攻击 。 

3) 效率 和 隐私 保护 的 矛盾 

标签 身份 需要 保密 ,但 快速 验证 标签 需要 知道 标签 身份 ,才能 找到 需要 的 信息 ,这 形成 
效率 和 隐私 保护 的 矛盾 。 需 要 找 出 一 种 平衡 , 即 要 使 用 恰当 的 方式 达到 高 效 、 可 用 的 安全 和 
隐私 保护 。 


2. RFID 的 隐私 威胁 
RFID 面临 的 隐私 威胁 包括 标签 信息 泄漏 和 利用 标签 的 唯一 标识 符 进 行 的 恶意 跟踪 。 
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RFID 系统 后 台 服 务 器 提供 数据 库 ,标签 一 般 不 需 包含 和 传输 大 量 的 信息 。 通 常情 况 
下 ,标签 只 需要 传输 简单 的 标识 符 , 然 后 ,通过 这 个 标识 符 访问 数据 库 获得 目标 对 象 的 相关 
数据 和 信息 。 因 此 ,可 通过 标签 固定 的 标识 符 实施 跟踪 ,即使 标签 进行 加 密 后 不 知道 标签 的 
内 容 , 仍 然 可 以 通过 固定 的 加 密 信息 跟踪 标签 。 也 就 是 说 ,人 们 可 以 在 不 同 的 时 间 和 不 同 的 
地 点 识别 标签 ,获取 标签 的 位 置信 息 。 这 样 ,攻击 者 可 以 通过 标签 的 位 置信 息 获 取 标 签 携带 
者 的 行踪 ,比如 得 出 他 的 工作 地 点 以 及 到 达 和 离开 工作 地 点 的 时 间 。 

虽然 利用 其 他 的 一 些 技术 ,如 视频 监视 、 全 球 移动 通信 系统 (GSM) 和 蓝牙 等 ,也 可 进行 
跟踪 ,但 是 ,RFID 标签 识别 装备 的 价格 相对 低廉 ,特别 是 RFID 进入 老百姓 日 常生 活 以 后 ， 
拥有 阅读 器 的 人 都 可 以 扫描 并 跟踪 他 人 。 而 且 , 被 动 标签 信号 不 能 切断 ,尺寸 很 小 , 极 易 隐 
藏 ,使 用 寿命 长 ,可 自动 识别 和 采集 数据 ,从 而 使 恶意 跟踪 更 加 容易 。 


3. RFID 攻击 模式 


1) 窃听 (eavesdropping) 

窃听 的 原意 是 偷 听 别 人 之 间 的 谈话 。 随 着 科学 技术 的 不 断 发 展 , 窃 听 的 含义 早已 超出 
隔 墙 偷 听 和 截 听 电 话 的 概念 , 它 借 助 于 技术 设备 和 技术 手段 ,不 仅 窃取 语言 信息 ,还 窃取 数 
据 . 文 字 和 图 像 等 信息 。 窃 听 技 术 是 窃听 行动 所 使 用 的 窃听 设备 和 窃听 方法 的 总 称 , 它 包 括 
窃听 器 材 ,窃听 信和 号 的 传输 .保密 和 处 理 ,窃听 器 的 安装 和 使 用 以 及 与 窃听 相配 合 的 信号 截 
收 等 。 

在 涉及 RFID 的 安全 和 隐私 问题 时 ,由 于 标签 和 阅读 器 之 间 通 过 无 线 射 频 通信 ,攻击 者 
可 以 在 设 定 通信 距离 外 使 用 相关 设备 偷 听信 息 。 窃 听 的 示意 如 图 4.2 所 示 。 


则 ,|， 国 
然 


图 42 窃听 


2) 中 间 人 攻击 

中 间 人 攻击 (Man-in-the-Middle Attack, 简 称 MITM 攻击 ) 是 一 种 间接 的 入 侵 攻击 ,这 
种 攻击 模式 是 通过 各 种 技术 手段 将 受 入 侵 者 控制 的 一 台 阅 读 器 虚拟 放置 在 网 络 连接 中 的 标 
签 和 阅读 器 之 间 , 这 台 “ 敌 意 的 阅读 器 ”就 称 为 中 间 人 。 然 后 入 侵 者 使 中 间 人 能 够 与 原始 
RFID 网 络 建立 活动 连接 并 允许 其 读 取 或 修改 传递 的 信息 ,然而 两 个 原始 RFID 网 络 的 用 户 
却 认为 他 们 是 在 互相 通信 。 通 常 ,这 种 “拦截 数据 一 修改 数据 一 发 送 数据 ?的 过 程 就 称 为 会 
话 劫持 (session hijack) 。 

图 4. 3 所 示 为 对 reader(tag) 伪 装 成 tag(reader) ,传递 .截取 或 修改 通信 消息 的 中 间 人 

3) 欺骗 、 重 放 和 克隆 

在 获取 RFID 射频 信号 后 . 敌 方 可 以 采用 如 下 手段 进行 系统 攻击 : 

(1) 欺骗 (spoofing) : 基于 已 掌握 的 标签 数据 通过 阅读 器 进行 欺骗 。 
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图 43 中 间 人 攻击 


(2) 重 放 (replaying): 将 标签 的 回复 记录 下 来 并 回放 。 

(3) 克隆 (cloning) : 形成 原来 标签 的 一 个 副本 。 

4) 拒绝 服务 攻击 (Denial-of-Service Attack,DoS 攻击 ) 

拒绝 服务 攻击 是 通过 不 完整 的 交互 请 求 消耗 系统 资源 ,使 系统 不 能 正常 工作 ,如 : 

(1) 产生 标签 冲突 ,影响 正常 读 取 。 

(2) 发 起 认证 消息 ,消耗 系统 计算 资源 。 

(3) 对 标签 的 DoS 攻击 。 

(4) 消耗 有 限 的 标签 内 部 状态 ,使 之 无 法 被 正常 识别 。 

5) 物理 破解 (corrupt) 

物理 破解 采用 如 下 步骤 对 RFID 射频 系统 进行 破坏 : 

(1) 由 于 标签 容易 获取 的 特性 ,首先 劫持 获取 标签 样本 。 

(2) 通过 逆向 工程 等 技术 破解 标签 。 

(3) 破解 之 后 可 以 发 起 进一步 攻击 。 

(4) 推测 此 标签 之 前 发 送 的 消息 内 容 。 

(5) 推断 其 他 标签 的 秘密 。 

6) 算 改 信息 (modification) 

进行 非 授权 的 修改 或 擦 除 标签 数据 ,从 而 达到 算 改 信息 的 目的 。 

7) RFID 病毒 (virus ,malware) 

2006 年 3 月 ,荷兰 Vrije 大 学 的 一 组 计算 机 研究 员 宣布 ,发 现 包 括 EPC 标签 在 内 的 
RFID 标签 可 以 被 用 来 携带 病毒 ,并 能 攻击 计算 机 系统 ,他 们 认为 使 用 可 读 写 的 电子 标签 存 
在 安全 隐患 。 

由 于 标签 中 可 以 写 人 一 定量 的 代码 , 当 读 取 标 签 时 ,代码 将 可 以 被 注入 系统 。 因 而 从 
RFID 标签 来 的 数据 能 够 用 来 攻击 后 端的 软件 系统 。 因 此 ,REFID 中 间 件 开发 商 必 须 做 一 些 
适当 的 检查 。 

8) 其 他 隐患 

RFID 的 安全 和 隐私 问题 涉及 的 其 他 隐患 还 包括 电子 破坏 .屏蔽 干扰 和 拆除 等 。 


4.1.3 REFID 系统 通信 模型 


1. RFID 系统 通信 模型 
RFID 系统 根据 分 层 模 型 可 划分 为 3 层 : 应 用 层 、 通 信 层 和 物理 层 ,ISO/IEC 18000 标准 
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定义 了 读 写 器 与 标签 之 间 的 双向 通信 协议 ,其 基本 的 通信 模型 如 图 4. 4 所 示 。 
这 Ee 由 图 4.4 可 以 看 出 ,物理 层 主要 关心 的 是 电气 
应 用 慑 | 识别 认证 协议 __[ 记 二 到 | 信号 问题 ,例如 频道 分 配 、 物 理 载波 等 ,其 中 最 重要 
通信 层 | 防 冲 突 协议 __| 通信 层 | ”的 一 个 问题 就 是 载波 “切割 ”(singulation) 问题。 通 
物理 层 | 包间 协议 -| 物理 层 | 信和 层 定义 了 读 写 器 与 标签 之 间 双 向 交换 数据 和 指令 
二 的 方式 ,其 中 最 重要 的 一 个 问题 是 解决 多 个 标签 同 
时 访问 一 个 读 写 器 时 的 冲突 问题 。 应 用 层 用 于 解决 
和 最 上 层 应 用 直接 相关 的 内 容 , 包 括 认证 ,识别 以 及 应 用 层 数据 的 表示 、 处 理 逻 辑 等 。 通 党 
情况 所 说 的 RFID 安全 协议 指 的 就 是 应 用 层 协议 ,本 章 所 讨论 的 所 有 RFID 协议 都 属于 这 个 
范畴 。 
但 是 ,也 有 学 者 认为 ,可 追踪 性 问题 必须 针对 RFID 通信 模型 的 各 层 来 整体 解决 ,任何 
一 个 单 层面 的 解决 方案 都 是 不 全 面 的 ,都 有 可 能 导致 RFID 系统 出 现 明显 的 安全 弱点 和 漏 
洞 。 实 际 上 ,这 一 观点 与 信息 安全 中 的 “深度 防御 ”策略 不 谋 而 合 。 除 此 之 外 ,我 们 还 认为 ， 
在 部 署 和 实施 RFID 系统 的 安全 方案 时 ,同时 还 应 该 综合 考虑 其 他 多 种 因素 ,例如 可 扩展 
性 、 系 统 开销 和 可 管理 性 等 。 


2. 恶意 跟踪 问题 的 层次 划分 


对 应 于 RFID 系统 通信 模型 3 个 层次 的 恶意 跟踪 可 分 别 在 此 3 个 层次 内 进行 。 

1) 应 用 层 

应 用 层 处 理 用 户 定义 的 信息 ,如 标识 符 。 为 了 保护 标识 符 , 可 在 传输 前 变换 该 数据 ,或 
仅 在 满足 一 定 条 件 时 传送 该 信息 。 标 签 识别 和 认证 等 协议 在 该 层 定义 。 

通过 标签 标识 符 进行 跟踪 是 目前 的 主要 手段 。 因 此 .解决 方案 要 求 每 次 识别 时 改变 由 
标签 发 送 到 阅读 器 的 信息 ,此 信息 或 者 是 标签 标识 符 ,或 者 是 它 的 加 密 值 。 

2) 通信 层 

通信 层 定义 阅读 器 和 标签 之 间 的 通信 方式 。 防 碰撞 协议 和 特定 标签 标识 符 的 选择 机 制 
在 该 层 定义 。 该 层 的 跟踪 问题 来 源 于 两 个 方面 : 一 是 基于 未 完成 的 单一 化 (singulation) 会 
话 攻击 ,二 是 基于 缺乏 随机 性 的 攻击 。 

防 冲 突 协议 分 为 两 类 : 确定 性 协议 和 概率 性 协议 。 确 定性 防 冲 突 协 议 基 于 标签 唯一 的 
静态 标识 符 ,对手 可 以 轻易 地 追踪 标签 。 为 了 避免 跟踪 ,标识 符 需 要 是 动态 的 。 然 而 ,如 果 
标识 符 在 单一 化 过 程 中 被 修改 , 便 会 破坏 标签 单一 化 。 因 此 ,标识 符 在 单一 化 会 话 期 间 不 能 
改变 。 为 了 阻止 被 跟踪 ,每 次 会 话 时 应 使 用 不 同 的 标识 符 。 但 是 ,恶意 的 阅读 器 可 让 标签 的 
一 次 会 话 处 于 开放 状态 ,使 标签 标识 符 不 改变 ,从 而 进行 跟踪 。 概 率 性 防 冲 突 协议 也 存在 这 
样 的 跟踪 问题 。 另 外 ,概率 性 防 冲 突 协议 ,如 Aloha 协议 ,不 仅 要 求 每 次 改变 标签 标识 符 ,而 
且 要 求 是 完美 的 随机 化 ,以 防止 恶意 阅读 器 的 跟踪 。 

3) 物理 层 

物理 层 定义 物理 空中 接口 ,包括 频率 ,传输 调制 .数据 编码 和 定时 等 。 在 阅读 器 和 标签 
之 间 交 换 的 物理 信和 号 使 对 手 在 不 理解 所 交换 的 信息 的 情况 下 也 能 区 别 标签 或 标签 集 。 

无 线 传输 参数 遵循 已 知 标准 ,使 用 同一 标准 的 标签 发 送 非 常 类 似 的 信号 ,使 用 不 同 标准 
的 标签 发 送 的 信号 很 容易 区 分 。 可 以 想象 , 几 年 后 ,我 们 可 能 携带 嵌 有 标签 的 许多 物品 在 大 
街 上 行走 ,如 果 使 用 几 个 标准 ,每 个 人 可 能 带 有 特定 标准 组 合 的 标签 ,这 类 标准 组 合 使 对 人 
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的 跟踪 成 为 可 能 。 该 方法 特别 有 利于 跟踪 某 些 类 型 的 人 ,如 军人 或 安全 保安 人 员 。 
类 似 地 ,不 同 无 线 指纹 的 标签 组 合 也 会 使 跟踪 成 为 可 能 。 


4.1.4 安全 RFID 系统 的 基本 特征 


射频 识别 技术 在 国内 外 发 展 非常 迅速 ,射频 识别 产品 种 类 繁多 。 在 射频 识别 系统 中 ,与 
安全 相关 的 应 用 越 来 越 多 地 被 应 用 到 生活 中 ,从 而 对 安全 功能 提出 了 很 高 的 要 求 。 在 与 安 
全 相关 的 应 用 中 ,必须 采取 安全 措施 以 防止 黑客 的 蓄意 攻击 ,防止 某 些 人 试图 通过 射频 识别 
系统 来 进行 非 授权 访问 或 骗取 服务 。 现 代 的 鉴别 协议 同样 涉及 对 密 钥 的 检测 ,可 用 适当 的 
算法 来 防止 密码 被 破解 。 


1. 射频 识别 系统 防范 范围 


高 度 安全 的 射频 识别 系统 对 下 列 单项 攻击 应 该 能 够 予以 防范 : 

(1) 为 了 复制 /改变 数据 ,未 经 授权 地 读 出 数据 载体 。 

(2) 将 外 来 的 数据 载体 置 和 人 某 个 读 写 器 的 询问 范围 内 ,企图 得 到 非 授权 出 人 建筑 物 或 
不 付费 服务 。 

(3) 为 了 假冒 真正 的 数据 载体 ,窃听 无 线 电 通信 并 重 放 数据 。 

在 选择 射频 识别 系统 时 ,应 该 特别 重视 其 密码 功能 。 一 些 对 安全 功能 没有 要 求 的 应 用 
(例如 工业 自动 化 装置 和 工具 识别 等 ) 会 由 于 引入 密码 过 程 ,使 费用 不 必要 地 增加 。 与 此 相 
反 , 在 安全 性 的 应 用 中 ,省 略 密 码 过 程 ,会 由 于 使 用 假冒 的 电子 标签 来 获取 未 认可 的 服务 , 引 
起 很 严重 的 朴 漏 。 

射频 识别 技术 还 有 一 些 问题 存在 ,例如 ,标签 资源 和 计算 能 力 有 限 ,标签 的 存储 空间 极 
其 有 限 ( 最 便宜 的 标签 只 有 64 一 128b 的 ROM, 仅 可 容纳 唯一 标识 符 ) ,标签 外 形 很 小 ,标签 
电源 供给 有 限 ,标签 信息 易 被 未 授权 读 写 器 访问 等 。 所 有 这 些 特点 和 局 限 性 都 对 RFID 系 
统 安 全 机 制 的 设计 提出 了 特殊 的 要 求 .也 使 得 设计 者 对 密码 机 制 的 选择 受到 很 多 限制 。 

RFID 系统 很 容易 受到 各 种 攻击 ,主要 是 由 于 它 的 通信 过 程 中 没有 任何 物理 或 者 可 见 的 
接触 (通过 电磁 波 的 形式 进行 )。 因 此 ,REFID 系统 必须 能 够 抵抗 各 种 形式 的 攻击 ,如 监听 、 主 
动 攻击 、 跟 踪 以 及 拒绝 服务 等 。 


2. 安全 RFID 系统 的 基本 特征 


一 般 说 来 ,比较 完善 的 RFID 系统 解决 方案 应 当 具 备 机 密 性 、 完 整 性 可用性、 真实 性 和 
隐私 性 等 基本 特征 。 

1) 机 密 性 

一 个 电子 标签 不 应 当 向 未 授权 读 写 器 泄漏 任何 敏感 的 信息 ,在 许多 应 用 中 ,电子 标签 所 
包含 的 信息 关系 到 消费 者 的 隐私 ,这 些 数据 一 旦 被 攻击 者 获取 ,消费 者 的 隐私 权 将 无 法 得 到 
保障 ,因而 一 个 完备 的 RFID 安全 方案 必须 能 够 保证 电子 标签 所 包含 的 信息 仅 能 被 授权 读 
写 器 访问 。 事 实 上 ,目前 读 写 器 和 标签 之 间 的 无 线 通信 在 多 数 情况 下 是 不 受 保护 的 (除了 采 
用 ISO 14443 标准 的 高 端 系统 ) ,因而 未 采用 安全 机 制 的 电子 标签 会 向 邻近 的 读 写 器 泄漏 标 
签 内 容 和 一 些 敏感 信息 。 

由 于 缺乏 支持 点 对 点 加 密 和 PKI 密 钥 交 换 的 功能 ,在 RFID 系统 应 用 过 程 中 ,攻击 者 能 
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够 获取 并 利用 电子 标签 上 的 内 容 。 比 如 商业 间谍 人 员 可 以 通过 隐藏 在 附近 的 读 写 器 周期 性 
地 统计 货架 上 的 商品 来 推断 销售 数据 , 抢 动 犯 能 够 利用 读 写 器 来 确定 贵重 物品 的 数量 及 位 
置 等 。 同 时 ,由 于 从 读 写 器 到 电子 标签 的 前 向 信道 具有 较 大 的 覆盖 范围 ,因而 它 比 从 电子 标 
签到 读 写 器 的 后 向 信道 更 加 不 安全 。 攻 击 者 可 以 通过 采用 窃听 技术 ,分 析 微 处 理 器 正常 工作 
过 程 中 产生 的 各 种 电磁 特征 来 获得 标 答 和 读 写 器 之 间或 其 他 RFID 通信 设备 之 间 的 通信 数据 。 

2) 完整 性 

在 通信 过 程 中 ,数据 完整 性 能 够 保证 接收 者 收 到 的 信息 在 传输 过 程 中 没有 被 攻击 者 算 
改 或 替换 。 在 基于 公 钥 的 密码 体制 中 ,数据 完整 性 一 般 是 通过 数字 签名 来 完成 的 ,但 资源 有 
限 的 RFID 系统 难以 支持 这 种 代价 昂贵 的 密码 算法 。 在 RFID 系统 中 ,通常 使 用 消息 认证 码 
来 进行 数据 完整 性 的 检验 ,使 用 的 是 一 种 带 有 共享 密 钥 的 散 列 算法 ,即将 共享 密 钥 和 待 检 验 
的 消息 连接 在 一 起 进行 散 列 运 算 , 对 数据 的 任何 细微 改动 都 会 对 消息 认证 码 的 值 产生 较 大 
影响 。 

事实 上 ,除了 采用 ISO 14443 标准 的 高 端 系统 (该 系统 使 用 了 消息 认证 码 ) 外 ,在 读 写 器 
和 电子 标签 的 通信 过 程 中 ,传输 信息 的 完整 性 无 法 得 到 保障 。 如 果 不 采 用 访问 控制 机 制 ,可 
写 的 电子 标签 存储 器 有 可 能 被 攻击 者 控制 ,攻击 者 通过 软件 ,利用 微 处 理 器 的 通用 通信 接 
口 ,通过 扫描 标签 和 响应 读 写 器 的 查询 ,寻求 安全 协议 ,加密 算法 及 其 实现 机 制 上 的 漏洞 , 进 
而 删除 电子 标签 内 容 或 算 改 可 重 写 标签 内 容 。 在 通信 接口 处 使 用 校 验 和 的 方法 也 仅仅 能 够 
检测 随机 错误 的 发 生 。 

3) 可 用 性 

RFID 系统 的 安全 解决 方案 所 提供 的 各 种 服务 能 够 被 授权 用 户 使 用 ,并 能 够 有 效 防止 非 
法 攻击 者 企图 中 断 RFID 系统 服务 的 恶意 攻击 。 一 个 合理 的 安全 方案 应 当 具 有 节能 的 特 
点 ,各 种 安全 协议 和 算法 的 设计 不 应 当 太 复杂 ,并 尽 可 能 地 避 开 公 钥 运算 ,计算 开销 、 存 储 容 
量 和 通信 能 力也 应 当 充分 考虑 RFID 系统 资源 有 限 的 特点 ,从 而 使 得 能 量 消耗 最 小 化 。 

同时 ,安全 性 设计 方案 不 应 当 限 制 RFID 系统 的 可 用 性 ,并 能 够 有 效 防止 攻击 者 对 电子 
标签 资源 的 恶意 消耗 。 事 实 上 ,由 于 无 线 通信 本 身 固有 的 脆弱 性 ,多 数 RFID 系统 极 易 受到 
攻击 者 的 破坏 。 攻 击 者 可 以 通过 频率 干扰 的 手段 ,产生 异常 的 应 用 环境 ,使 合法 处 理 器 产生 
故障 ,进而 在 上 层 实 现 拒绝 服务 攻击 ;也 可 以 使 用 阻塞 信道 的 方法 来 中 断 读 写 器 与 所 有 或 特 
定 标签 的 通信 。 

4) 真实 性 

电子 标签 的 身份 认证 在 RFID 系统 的 许多 应 用 中 是 非常 重要 的 。 攻 击 者 可 以 利用 获取 
的 标签 实体 ,通过 物理 手段 在 实验 室 环境 中 去 除 芯片 封装 ,使 用 微 探 针 获 取 敏感 信息 ,进而 
重 构 标签 ,达到 伪造 电子 标签 的 目的 。 攻 击 者 可 以 利用 伪造 电子 标签 代替 实际 物品 ,或 通过 
重 写 合法 的 电子 标签 内 容 , 使 用 低 价 物品 标签 的 内 容 来 蔡 换 高 价 物品 标签 的 内 容 , 从 而 获取 
非法 利益 。 

同时 ,攻击 者 也 可 以 通过 某 种 方式 隐藏 标签 ,使 读 写 器 无 法 发 现 该 标签 ,从 而 成 功 地 实 
施 物品 转移 。 读 写 器 只 有 通过 身份 认证 才能 确信 消息 是 从 正确 的 电子 标签 处 发 送 过 来 的 。 
在 传统 的 有 线 网 络 中 ,通常 使 用 数字 签名 或 数字 证 书 来 进行 身份 认证 ,但 这 种 公 钥 算法 不 适 
用 于 通信 能 力 计算 速度 和 存储 空间 都 相当 有 限 的 电子 标签 。 

5) 隐私 性 

一 个 安全 的 RFID 系统 应 当 能 够 保护 使 用 者 的 隐私 信息 或 相关 经 济 实体 的 商业 利益 。 
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事实 上 ,目前 的 RFID 系统 面临 着 位 置 保密 或 实时 跟踪 的 安全 风险 。 同 个 人 携带 物品 的 商 
标 可 能 泄漏 个 人 身份 一 样 , 个 人 携带 物品 的 标签 也 可 能 会 泄漏 个 人 身份 ,通过 读 写 器 能 够 跟 
踪 携 带 不 安全 标签 的 个 人 ,并 将 这 些 信息 进行 综合 和 分 析 , 就 可 以 获取 使 用 者 个 人 喜好 和 行 
踪 等 隐私 信息 。 同 时 ,一 些 情报 人 员 也 可 能 通过 跟踪 不 安全 的 标签 来 获得 有 用 的 商业 机 密 。 

RFID 当初 的 应 用 设计 是 完全 开放 的 ,这 是 出 现 安全 隐患 的 根本 原因 。 另 外 ,对 标签 加 
解密 需要 耗 用 过 多 的 处 理 器 能 力 ,会 使 标签 增加 额外 的 成 本 ,因此 ,一 些 优秀 的 安全 工具 未 
能 能 入 到 标签 的 硬件 中 ,这 也 是 标签 出 现 安全 隐患 的 重要 原因 。 


4.2 RFID 技术 中 的 隐私 问题 及 保护 措施 


RFID 系统 的 应 用 中 主要 面临 两 类 隐私 侵犯 ,分 别 是 位 置 隐私 和 信息 隐私 。 
4.2.1 位 置 隐私 


携带 RFID 标签 的 任何 人 都 能 在 公开 场合 被 自动 跟踪 ,尽管 多 数 人 并 不 关心 自己 是 否 
在 公开 场合 被 跟踪 ,但 是 像 艾 滋 病 人 、 宗 教 信徒 ,甚至 成 人 商店 零售 商 这 些 个 人 或 者 组 织 机 
构 都 需要 防止 被 自动 跟踪 。 

位 置 隐私 含有 高 度 的 个 人 特征 。 阅 读 器 通过 手推车 上 的 RFID 芯片 可 以 方便 地 探知 到 
个 人 活动 的 位 置 。 进 而 提供 给 消费 者 定位 与 指引 的 相关 资料 。 而 且 , 除 被 动 地 让 消费 者 知 
道 自己 的 位 置 外 ,通过 位 置信 息 进 而 主动 提供 购买 信息 给 消费 者 ,是 不 是 属于 一 种 “不 请 自 
来 ”的 推销 行为 ? 

消费 者 因为 在 店内 消费 ,可 能 因为 推 车 位 置 ,也 可 能 因为 货品 标签 持续 的 电磁 波 发 射 ， 
而 暴露 自身 处 于 哪些 商品 区 以 及 可 能 停滞 的 时 间 。 利 用 这 样 的 信息 ,商家 可 以 去 推断 消费 
者 的 使 用 习惯 ,进而 结合 对 象 数据 库 ,立即 或 是 定期 地 提供 一 定 的 商品 推销 信息 。 

由 此 可 见 , 由 位 置 隐私 的 侵犯 而 带 来 的 一 系列 问题 必须 引起 RFID 技术 研发 部 门 的 适 
度 重 视 。 


4.2.2 信息 隐私 


信息 隐私 包括 关于 个 人 信息 ,比如 纳税 、 医 疗 或 者 购买 记录 等 ,也 叫做 数据 隐私 。 由 于 
RFID 的 特性 ,厂商 可 以 通过 卷 标 与 读 取 咒 间 的 互动 感应 ,得 知 哪 一 种 商品 较为 顾客 所 喜好 。 
举例 来 说 ,对 于 不 同 颜色 的 衣服 ,可 以 通过 标签 感应 得 知 同一 款式 的 哪 一 种 颜色 最 常 为 顾客 
拿 起 来 观看 或 试 穿 。 一 方面 这 是 商品 本 身 的 情报 调查 ,但 同时 ,如 果 这 样 的 信息 与 个 人 相连 
接 , 那 么 它 也 可 以 透露 个 人 的 消费 偏好 与 习性 。 而 如 果 通 过 这 些 资 料 ,进而 为 顾客 提供 一 定 
的 服务 ,例如 从 商品 标签 所 接收 的 资料 中 得 知 顾客 购买 了 某 特定 品牌 的 洗 发 水 , 便 可 向 顾客 
推销 相同 厂 牌 的 化 妆 品 或 是 给 予 一 定 的 折扣 以 吸引 消费 者 购买 。 这 样 的 商品 推销 是 不 是 一 
种 潜在 的 隐私 侵犯 呢 ? 

从 上 述 分 析 来 看 ,信息 隐私 也 必须 得 到 相关 机 构 的 广泛 重视 。 
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4.2.3 隐私 保护 


隐私 保护 已 经 成 为 RFID 的 一 项 重要 挑战 。 当 RFID 的 广泛 应 用 带 来 巨大 的 利润 时 ,也 
同样 带 来 了 一 定 的 负面 效应 。 只 有 通过 法 规 来 约束 对 RFID 技术 的 滥用 ,才能 使 得 隐私 权 
的 保护 与 科技 的 高 度 发 展 尽 可 能 地 保持 平衡 与 双赢 。 

作为 解决 RFID 技术 隐私 问题 的 措施 之 一 ,首先 要 在 制定 RFID 技术 标准 时 就 应 该 考虑 
隐私 保护 问题 。 建 议 在 RFID 技术 标准 中 规定 : 作为 使 用 RFID 技术 实现 赢利 的 企业 或 组 
织 , 应 当 明 确 告知 消费 者 : 在 什么 地 方 安置 了 RFID 的 探头 或 者 是 跟踪 器 ,从 消费 者 个 人 身 
上 获取 了 什么 样 的 信息 ,这 些 信息 采取 了 什么 样 的 处 理 方式 ,以 及 这 些 信息 将 用 来 干什么 。 
但 这 种 方案 无 法 保证 被 别有用心 的 人 或 组 织 窃 听 和 跟踪 。 

在 商业 零售 中 第 二 种 方案 是 RFID 标签 可 以 自由 除去 ,可 以 通过 让 顾客 知道 他 所 买 的 
商品 中 含有 这 样 的 一 个 标签 ,这 样 任何 问题 都 可 以 得 到 解决 。 最 简单 的 方法 是 要 求 RFID 标 
签 能 被 消费 者 清除 ,但 是 在 大 部 分 情况 下 ,从 商品 中 取消 标签 会 导致 损坏 商品 。 

另 一 个 解决 办 法 是 对 识别 权利 进行 限制 ,以 便 只 有 通过 标签 生产 商 才能 进行 阅读 和 解 
码 。 但 是 这 不 可 能 解决 顾客 对 批发 商 的 隐私 问题 ,因为 批发 商 不 愿 放弃 从 顾客 中 收集 到 的 
数据 库 。 但 这 样 的 隐私 威胁 是 限制 在 局 部 的 和 小 范围 之 内 的 ,要 比 在 公共 场合 任何 人 都 可 
读 取 你 的 数据 要 好 得 多 。 

当然 ,如 同 现 有 的 物品 防 窗 标签 一 样 ,商店 也 可 以 在 客户 离开 时 使 RFID 标签 失效 。 这 
样 虽然 保护 了 隐私 ,但 你 也 失去 了 家 庭 记 录 和 应 用 的 便利 。 假 如 你 冰箱 里 的 食品 上 的 电子 
标签 未 失效 的 话 ,安装 在 冰箱 上 的 电子 标签 识别 器 就 会 自动 显示 冰箱 中 食品 的 种 类 、 数 量 和 
有 效 期 等 信息 ,如果 某 种 食品 已 过 期 或 已 用 完 的 话 , 就 会 向 你 提示 。 一 旦 离开 商店 时 使 这 些 
标签 失效 ,将 不 再 具有 电子 标签 在 家 庭 记录 和 应 用 的 便利 。 

使 电子 标签 失效 的 方法 有 两 种 。 一 种 是 使 电子 标签 离开 商店 前 永久 性 失效 。 但 这 种 方 
式 将 会 使 商品 在 召回 或 售后 服务 时 无 法 再 次 进行 身份 确认 ,同时 该 商品 的 电子 标签 的 延伸 
服务 功能 也 就 无 法 发 挥 。 

另 一 种 方案 是 商品 在 离开 商店 前 ,店主 根据 顾客 的 选择 来 决定 是 否 使 商品 上 的 电子 标 
签 失 活 (进入 休眠 状态 ), 失 活 后 的 电子 标签 将 不 再 会 被 陌生 人 读 取 或 跟踪 。 一 旦 需要 再 次 
使 用 电子 标签 功能 时 ,例如 在 召回 或 售后 服务 时 ,只 需 重新 激活 (唤醒 ) 即 可 。 当 然 电 子 标签 
的 失 活 与 激活 需 采 用 专用 设备 ,电子 标签 也 应 该 为 可 读 写 式 。 虽 然 成 本 增加 了 ,但 是 对 消费 
者 来 说 ,消除 了 隐私 安全 的 后 顾 之 忧 。 目 前 这 也 是 唯一 能 够 保护 顾客 隐私 ,给 他 们 安全 感 的 
做 法 。 


4.3 产品 电子 代码 的 密码 机 制 与 安全 协议 


产品 电子 代码 (EPC) 是 用 于 唯一 标识 物品 的 一 种 代码 。 基 于 RFID 的 EPC 系统 是 信息 
化 和 物 联 网 在 传统 物流 业 应 用 的 产物 和 具体 实现 。EPC 系统 组 成 如 图 4.5 所 示 。 

在 物 联网 系统 中 ,阅读 器 (reader) 在 接收 来 自 电子 标签 (tag) 的 载波 信息 并 对 接收 信号 
进行 解 调和 解码 后 ,会 将 其 信息 送 至 计算 机 的 中 间 件 Savant 系统 软件 进行 处 理 , 处 理 后 传 
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PML 服 务 
阅读 器 上 一 让 标签 上 -| savant 中 则 件 一 | 通信 网 络 
个 
ONS 服 务 器 网 络 数据 库 


图 45 EPC 系 统 组 成 


送 到 通信 网 络 ,然后 再 在 通信 网 络 上 利用 对 象 名 字 解 析 器 (ONS) 找 到 这 个 物品 信息 所 存储 
的 位 置 , 由 ONS 向 Savant 系统 指明 存储 这 个 物品 的 有 关 信 息 的 服务 器 ,并 将 这 个 文件 中 关 
于 这 个 物品 的 信息 传递 过 来 。 


4.3.1 基于 RFID 技术 的 EPC 系统 安全 问题 


基于 RFID 技术 的 EPC 系统 安全 问题 分 为 3 类 。 
1. 标签 本 身 的 访问 缺陷 


用 户 ( 合 法 用 户 和 非法 用 户 ) 都 可 以 利用 合法 的 阅读 器 或 者 自 构 一 个 阅读 器 ,直接 与 标 
签 进行 通信 , 读 取 、 自 改 甚至 删除 标签 内 所 存储 的 数据 。 

同时 ,支持 EPC global 标准 的 无 源 标签 大 多 数 只 允许 写 人 一 次 ,但 支持 其 他 标准 (如 
ISO) 的 RFID 标签 却 能 够 多 次 写 人 (或 可 重 编程 ) 。 

多 次 写 人 功能 在 给 RFID 应 用 带 来 便捷 的 同时 ,也 带 来 了 更 大 的 安全 隐患 。 在 没有 足 
够 可 信任 的 安全 策略 的 保护 下 ,标签 中 的 数据 的 安全 性 有 效 性 .完整 性 .可 用 性 和 真实 性 都 
得 不 到 保障 。 


2. 通信 和 链 路 上 的 安全 问题 


通信 和 链 路 上 的 安全 问题 主要 有 : 

(1) 黑客 非法 截取 通信 数据 。 

(2) 拒绝 服务 攻击 。 

(3) 利用 假冒 标签 向 阅读 器 发 送 数据 。 

(4) RFID 阅读 器 与 后 台 系 统 间 的 通信 信息 安全 。 


3. 移动 RFID 安全 


移动 RFID 系统 是 指 利用 植 人 RFID 读 写 芯片 的 智能 移动 终端 ,获取 标签 中 的 信息 ,并 
通过 移动 网 络 访问 后 台数 据 库 ,获取 相关 信息 ,常见 的 应 用 是 手机 支付 。 在 移动 RFID 网 络 
中 存在 的 安全 问题 主要 还 是 假冒 与 非 授权 服务 。 

首先 ,在 移动 RFID 网 络 中 , 读 写 器 与 后 台数 据 之 间 不 存在 任何 固定 的 物理 连接 ,通过 
射频 信道 传输 其 身份 信息 ,攻击 者 截获 一 个 身份 信息 时 ,就 可 以 用 这 个 身份 信息 来 假冒 该 合 
法 读 写 器 的 身份 。 

其 次 ,通过 复制 他 人 读 写 器 的 信息 ,可 以 多 次 顶 蔡 消费 。 另 外 ,由 于 复制 攻击 实现 的 代 
价 不 高 ,上 且 不 用 任何 其 他 条 件 ,所 以 成 为 攻击 者 最 常用 的 手段 。 
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最 后 ,移动 RFID 网 络 还 存在 非 授权 服务 、 和 否认 与 拒绝 服务 等 攻击 。 
4.3.2 ”EPC global 系统 安全 分 析 


RFID 应 用 广泛 ,可 能 引发 各 种 各 样 的 安全 问题 。 在 一 些 应 用 中 ,非法 用 户 可 利用 合法 
阅读 器 或 者 自 构造 一 个 阅读 器 对 标签 实施 非法 接 人 ,造成 标签 信息 的 泄露 。 在 一 些 金融 和 
证 件 等 重要 应 用 中 ,攻击 者 可 算 改 标签 内 容 , 或 复制 合法 标签 ,以 获取 个 人 利益 或 进行 非法 
活动 。 在 药物 和 食品 等 应 用 中 ,不 法 生产 者 和 销售 者 可 以 伪造 标签 ,进行 伪劣 商品 的 生产 和 
销售 。 在 实际 应 用 中 ,应 针对 特定 的 RFID 应 用 和 安全 问题 分 别 采取 相应 的 安全 措施 。 

下 面 根据 EPC global 标准 组 织 定 义 的 EPC global 系统 架构 和 一 条 完整 的 供应 链 , 从 纵 
向 和 横向 分 别 描述 RFID 面临 的 安全 威胁 和 隐私 威胁 。 


1. EPC global 系统 的 纵向 安全 和 隐私 威胁 分 析 


EPC global 系统 架构 主要 由 标签 阅读 器 .电子 物品 编码 (EPC) 中 间 件 .电子 物品 编码 
信息 系统 (EPCIS) 物品 域名 服务 (ONS) 以 及 企业 的 其 他 内 部 系统 组 成 。 其 中 EPC 中 间 件 
主要 负责 从 一 个 或 多 个 阅读 器 接收 原始 标签 数据 ,过 滤 重 复 等 元 余数 据 ;EPCIS 主要 保存 有 
一 个 或 多 个 EPCIS 级 别 的 事件 数据 ;ONS 主要 负责 提供 一 种 机 制 , 允 许 内 部 和 外 部 应 用 查 
找 EPC 的 相关 EPCIS 数据 。 

可 将 EPC global 整体 系统 从 下 到 上 划分 为 3 个 安全 域 : 标签 和 阅读 器 构成 的 无 线 数据 
采集 区 域 构成 的 安全 域 , 企 业内 部 系统 构成 的 安全 域 ,以 及 企业 之 间 和 企业 与 公共 用 户 之 间 
供 数据 交换 和 查询 网 络 构成 的 安全 区 域 。 个 人 隐私 威胁 主要 可 能 出 现在 第 一 个 安全 域 , 即 
标签 ,空中 无 线 传输 和 阅读 器 之 间 有 可 能 导致 个 人 信息 泄露 和 被 跟踪 等 。 另 外 ,个 人 隐私 威 
胁 还 可 能 出 现在 第 三 个 安全 域 ,如 果 ONS 的 管理 不 善 , 也 可 能 导致 个 人 隐私 的 非法 访问 或 
滥用 。 安 全 与 隐私 威胁 存在 于 如 下 各 安全 域 : 

(1) 标签 和 阅读 器 构成 的 无 线 数据 采集 区 域 构成 的 安全 域 。 可 能 存在 的 安全 威胁 包括 
标签 的 伪造 、 对 标签 的 非法 接 入 和 算 改 、 通 过 空中 无 线 接口 的 窃听 、 获 取 标 签 的 有 关 信 息 以 
及 对 标签 进行 跟踪 和 监控 。 

(2) 企业 内 部 系统 构成 的 安全 域 。 企 业内 部 系统 构成 的 安全 域 存在 的 安全 威胁 与 现 有 
企业 网 一 样 ,在 加 强 管理 的 同时 ,要 防止 内 部 人 员 的 非法 或 越权 访问 与 使 用 ,还 要 防止 非法 
阅读 器 接 人 企业 内 部 网 络 。 

(3) 企业 之 间 和 企业 与 公共 用 户 之 间 供 数据 交换 和 查询 网 络 构成 的 安全 区 域 。ONS 通 
过 一 种 认证 和 授权 机 制 ,以 及 根据 有 关 的 隐私 法 规 , 保 证 采集 的 数据 不 被 用 于 其 他 非 正常 目 
的 的 商业 应 用 或 被 泄露 ,并 保证 合法 用 户 对 有 关 信 息 的 查询 和 监控 。 


2. 供应 链 的 横向 安全 和 隐私 威胁 分 析 


一 个 较 完整 的 供应 链 及 其 面 对 的 安全 与 隐私 威胁 包括 供应 链 内 、 商 品 流通 和 供应 链 外 
3 个 区 域 , 具 体 包括 商品 生产 、 运 输 、 分 发 中 心 . 零 售 商 店 、 商 店 货架 付款 柜台 、 外 部 世界 和 
用 户 家 庭 等 环节 。 其 中 ,安全 威胁 包括 以 下 4 种 : 

1) 工业 间谍 威胁 

从 商品 生产 出 来 到 售 出 之 前 各 环节 ,竞争 对 手 可 以 很 容易 地 收集 供应 链 数据 ,其 中 某 些 


94 


GIG 


DI 


第 4 章 ” RFID 系统 安 全 与 隐私 


涉及 产业 的 最 机 密 信息 。 例 如 ,一 个 代理 商 可 从 几 个 地 方 购买 竞争 对 手 的 产品 ,然后 ,监控 
这 些 产 品 的 位 置 补充 情况 。 在 某 些 场合 ,可 在 商店 内 或 在 卸货 时 读 取 标 签 , 因 为 携带 标签 的 
物品 被 唯一 编号 ,竞争 者 可 以 非常 隐蔽 地 收集 大 量 的 数据 。 

2) 竞争 市 场 威胁 

从 商品 到 达 零 售 商店 直到 用 户 在 家 使 用 等 环节 ,携带 着 标签 的 物品 使 竞争 者 可 以 很 容 
易 地 获取 用 户 的 喜好 信息 ,并 在 竞争 市 场 中 使 用 这 些 数据 。 

3) 基础 设施 威胁 

基础 设施 威胁 包括 从 商品 生产 到 付款 柜台 售 出 等 整个 环节 ,这 不 是 RFID 本 身 特 定 的 
威胁 ,但 当 RFID 成 为 一 个 企业 基础 设施 的 关键 部 分 时 ,通过 阻塞 无 线 信号 ,可 使 企业 遭 到 
新 的 拒绝 服务 攻击 。 

4) 信任 域 威胁 

信任 域 威胁 包括 从 商品 生产 到 付款 柜台 售 出 等 整个 环节 ,这 也 不 是 RFID 特定 的 威胁 ， 
因 需 要 在 各 环节 之 间 共 享 大 量 的 电子 数据 , 某 个 不 适当 的 共享 机 制 将 提供 新 的 攻击 机 会 


3. 个 人 隐私 威胁 


个 人 隐私 威胁 包括 以 下 7 种 。 

1) 行为 威胁 

由 于 标签 标识 的 唯一 性 ,可 以 很 容易 地 与 一 个 人 的 身份 相 联系 。 可 以 通过 监控 一 组 标 
签 的 行踪 而 获取 一 个 人 的 行为 。 

2) 关联 威胁 

在 用 户 购买 一 个 携带 EPC 标签 的 物品 时 ,可 将 用 户 的 身份 与 该 物品 的 电子 序列 号 相关 
联 , 这 类 关联 可 能 是 秘密 的 ,甚至 是 无 意 的 。 

3) 位 置 威胁 

在 特定 的 位 置 放置 秘密 的 阅读 器 ,可 产生 两 类 隐私 威胁 。 一 类 是 ,如 果 监 控 代理 知 道 那 
些 与 个 人 关联 的 标签 ,那么 ,携带 唯一 标签 的 个 人 可 被 监控 ,他 们 的 位 置 将 被 暴露 ; 另 一 

一 个 携带 标签 的 物品 的 位 置 (无 论 谁 或 什么 东西 携带 它 ) 易 于 未 经 授权 地 被 暴露 。 

4) 喜好 威胁 

利用 EPC 网 络 ,物品 上 的 标签 可 唯一 地 识别 生产 者 .产品 类 型 和 物品 的 唯一 身份 。 这 
使 竞争 者 (或 好 奇 者 ) 以 非常 低廉 的 成 本 就 可 获得 宝贵 的 用 户 喜好 信息 。 如 果 对 手 能 够 很 容 
易 地 确定 物品 的 金钱 价值 ,这 实际 上 也 是 一 种 价值 威胁 。 

5) 星座 (constellation) 威 胁 

无 论 个 人 身份 是 否 与 一 个 标签 关联 ,多 个 标签 可 在 一 个 人 的 周围 形成 一 个 唯一 的 星座 ， 
对 手 可 使 用 这 个 特殊 的 星座 实施 跟踪 ,而 不 必 知 道 他 们 的 身份 , 即 前 面 描 述 的 利用 多 个 标准 
进行 的 跟踪 。 

6) 事务 威胁 

当 携 带 标签 的 对 象 从 一 个 星座 移 到 另 一 个 星座 时 ,在 与 这 些 星座 关联 的 个 人 之 间 可 以 
很 容易 地 推导 出 发 生 的 事务 。 

7) 面包 导 (breadcrumb) 威 胁 

面包 居 威 胁 属 于 关联 结果 的 一 种 威胁 。 从 个 人 收集 携带 标签 的 物品 ,然后 ,在 公司 信息 
系统 中 建立 一 个 与 他 们 的 身份 关联 的 物品 数据 库 。 当 他 们 丢弃 这 些 “ 电 子 面包 屑 ”时 ,在 他 
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们 和 物品 之 间 的 关联 不 会 中 断 。 使 用 这 些 丢弃 的 “面包 悦 ” 可 实施 犯罪 或 某 些 恶意 行为 。 
标签 复制 也 是 RFID 面临 的 一 种 严重 的 安全 威胁 。 


4.3.3 实现 RFID 安全 性 机 制 与 安全 协议 


目前 ,实现 RFID 安全 性 机 制 所 采用 的 方法 主要 有 物理 方法 、 密 码 机 制 以 及 二 者 相 结 合 
的 方法 。 


1. 物理 方法 


使 用 物理 途径 来 保护 RFID 标签 安全 性 的 方法 主要 有 如 下 几 类 。 

1) 静电 屏蔽 

通常 采用 一 个 法 拉 第 笼 (Faraday cage), 它 是 一 个 由 金属 网 或 金属 薄片 制 成 的 容器 ,使 
得 某 一 频段 的 无 线 电 信号 (或 其 中 一 段 的 无 线 电 信号 ) 无 法 穿 透 。 若 RFID 标签 置 于 该 外 单 
中 ,保护 标签 无 法 被 激活 ,当然 也 就 不 能 对 其 进行 读 / 写 操作 ,从 而 保护 了 标签 上 的 信息 。 这 
种 方法 的 缺点 是 必须 将 贴 有 RFID 的 标签 置 于 屏蔽 笼 中 ,使 用 不 方便 。 

2) 阻塞 标签 (block tag) 

采用 一 种 标签 装置 ,通过 发 射出 假冒 标签 序列 码 的 连续 频谱 ,这 样 就 能 隐藏 其 他 标签 的 
序列 码 。 这 种 方法 的 缺点 是 需要 一 个 额外 的 标签 ,并 且 当 标签 和 阻塞 标签 分 离 时 其 保护 效 
果 也 将 失去 。 

3) 主动 干扰 (active jamming) 

用 户 可 以 采用 一 个 能 主动 发 出 无 线 电信 号 的 装置 ,以 干扰 或 中 断 附近 其 他 RFID 阅读 
器 的 操作 。 主 动 干扰 带 有 强制 性 ,容易 造成 附近 其 他 合法 无 线 通信 系统 的 正常 通信 。 

4) 改变 阅读 器 频率 

阅读 器 可 使 用 任意 频率 ,这 样 未 授权 的 用 户 就 不 能 轻易 地 探测 或 窃听 阅读 器 与 标签 之 
间 的 通信 。 

5) 改变 标签 频率 

特殊 设计 的 标签 可 以 通过 一 个 保留 频率 (reserved frequency) 传 送信 息 。 然 而 ,方法 4) 
和 5) 的 最 大 缺点 是 需要 复杂 电路 ,容易 造成 设备 成 本 过 高 。 

6) kill 命令 机 制 

这 是 采用 从 物理 上 销毁 标签 的 办 法 ,其 缺点 是 一 旦 标签 被 销毁 , 便 不 可 能 再 被 恢复 使 
用 。 另 一 个 重要 的 问题 就 是 难以 验证 是 否 真正 对 标签 实施 了 销毁 (kill) 操 作 。 

几 种 物理 安全 方法 总 结 如 下 : 

(1) 灭 活 (kill) : 销毁 标签 ,使 标签 表 失 功能 ,不 能 响应 攻击 者 的 扫描 。 

(2) 法 拉 第 笼 : 屏蔽 电磁 波 , 阻 止 标 签 被 扫描 。 

(3) 主动 干扰 : 用 户主 动 广播 无 线 信号 ,以 阻止 或 破坏 RFID 阅读 器 的 读 取 。 

(4) 阻塞 标签 : 通过 特殊 的 标签 冲突 算法 以 阻止 非 授权 阅读 器 读 取 那 些 阻塞 标签 预定 
保护 的 标签 。 

总 之 ,物理 安全 机 制 是 通过 牺牲 标签 的 部 分 功能 满足 隐私 保护 的 要 求 。 
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2. 密码 机 制 


采用 密码 机 制 解决 RFID 的 安全 问题 已 成 为 业界 研究 的 热点 ,其 主要 研究 内 容 是 利用 
各 种 成 熟 的 密码 方案 和 机 制 来 设计 和 实现 符合 RFID 安全 需求 的 密码 协议 。 

讨论 较 多 的 RFID 安全 协议 有 Hash-Lock 协议 、 随 机 化 Hash-Lock 协议 Hash 链 协 
议 、 基 于 杂凑 的 ID 变化 协议 .David 的 数字 图 书馆 RFID 协议 、 分 布 式 RFID 询问 、 响 应 认证 
协议 .LCAP 协议 和 再 次 加 密 机 制 等 。 

与 基于 物理 方法 的 硬件 安全 机 制 相 比 。 基 于 密码 技术 的 软件 安全 机 制 受到 人 们 更 多 的 
青睐 。 其 主要 研究 内 容 是 利用 各 种 成 熟 的 密码 方案 和 机 制 来 设计 和 实现 符合 RFID 安全 需 
求 的 密码 协议 。 这 已 经 成 为 当前 RFID 安全 研究 的 热点 。 目 前 ,已 经 提出 了 多 种 RFID 安全 
协议 ,例如 Hash-Lock 协议 、 随 机 化 Hash-Lock 协议 和 Hash 链 协议 等 。 但 遗憾 的 是 , 现 有 
的 大 多 数 RFID 协议 都 存在 着 各 种 各 样 的 缺陷 。 下 面 对 其 进行 简单 的 介绍 。 

1) Hash-Lock 协议 

Hash-Lock 协议 是 由 Sar 等 人 提出 的 ,如 图 4.6 所 示 。 为 了 避免 信息 泄漏 和 被 追踪 , 它 
使 用 metaID 来 代 蔡 真 实 的 标签 ID。 该 协议 中 没有 ID 动态 刷新 机 制 ,并 且 metaID 也 保持 
不 变 ,ID 是 以 明文 的 形式 通过 不 安全 的 信道 传送 ,因此 Hash-Lock 协议 非常 容易 受到 假冒 
攻击 和 重 传 攻击 ,攻击 者 也 可 以 很 容易 地 对 标签 进行 追踪 。 


——metalD— Ns 十 二 二 | 
一 (key,ID)- 一 记过 二 标签 
数据 库 阅读 器 一 一 


图 46 HashLock 协 议 


2) 随机 化 Hash-Lock 协议 

随机 化 Hash-Lock 协议 由 Weis 等 人 提出 ,如 图 4.7 所 示 , 它 采用 了 基于 随机 数 的 询问 - 
应 答 机 制 。 在 该 协议 中 ,认证 通过 后 的 标签 的 标识 ID 仍 以 明文 的 形式 通过 不 安全 信道 传 
送 ,因此 攻击 者 可 以 对 标签 进行 有 效 的 追踪 。 同 时 ,一 旦 获得 了 标签 的 标识 ID ,攻击 者 就 可 
以 对 标签 进行 假冒 。 该 协议 也 无 法 抵抗 重 传 攻击 。 不 仅 如 此 ,每 一 次 标签 认证 时 ,后 端 数 据 
库 都 需要 将 所 有 标签 的 标识 发 送 给 阅读 器 ,二 者 之 间 的 数据 通信 量 很 大 。 所 以 ,该 协议 不 仅 
不 安全 ,也 不 实用 。 


查询 一 一 一 


——R, hIDAIR)— 
-wo mn i 


一 ID,,ID,, *…,ID, 和 
1 ID> Co mp， 标签 


数据 库 阅读 器 
图 47 随机 化 Hash-Lock 协 议 
3) Hash 链 协议 
本 质 上 , Hash 链 协议 ( 见 图 4. 8) 也 是 基于 共享 秘密 的 询问 -应 答 协议 ,但 是 ,在 Hash 链 


协议 中 , 当 使 用 两 个 不 同 杂 竣 函 数 的 阅读 器 发 起 认证 ,标签 总 是 发 送 不 同 的 应 答 。 在 该 协议 
中 ,标签 成 为 一 个 具有 自主 ID 更 新 能 力 的 主动 式 标签 。 同 时 , Hash 链 协议 是 一 个 单 向 认证 
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协议 ,只 能 对 标签 身份 进行 认证 ,不 能 对 阅读 器 身份 进行 认证 。Hash 链 协议 非常 容易 受到 
Hn 重 传 和 假冒 攻击 。 此 外 ,每 一 次 标签 认证 发 生 时 ， 
: ~ ”后 端 数据 库 都 要 对 每 一 个 标签 进行 一 次 杂凑 运算 。 
因此 其 计算 载荷 也 很 大 。 同 时 ,该 协议 需要 两 个 不 
同 的 杂凑 函数 ,也 增加 了 标签 的 制造 成 本 。 
4) 基于 杂凑 的 ID 变化 协议 
基于 杂凑 的 ID 变化 协议 与 Hash 链 协议 相似 ， 
每 一 次 会 话 中 的 ID 交换 信息 都 不 相同 。 系 统 使 用 了 一 个 随机 数 RR 对 标签 标识 不 断 进行 动 
态 刷 新 ,同时 还 对 TID (最 后 一 次 会 话 号 ) 和 LST( 最 后 一 次 成 功 的 会 话 号 ) 信 息 进行 更 新 ， 
所 以 该 协议 可 以 抵抗 重 传 攻击 。 但 是 ,在 标签 更 新 其 ID 和 LST 信息 之 前 ,后 端 数据 库 已 经 
成 功 地 完成 相关 信息 的 更 新 ,如 果 在 这 个 时 间 延 迟 内 攻击 者 进行 攻击 (例如 ,攻击 者 可 以 伪 
造 一 个 假 消息 ,或 者 干脆 实施 干扰 使 标签 无 法 接收 到 该 消息 ) ,就 会 在 后 端 数据 库 和 标签 之 
间 出 现 严 重 的 数据 不 同步 问题 。 这 也 就 意味 着 合法 的 标签 在 以 后 的 会 话 中 将 无 法 通过 认 
证 。 因 此 ,该 协议 并 不 适合 于 使 用 分 布 式 数 据 库 的 普 适 计算 环境 ,同时 存在 数据 库 同 步 的 潜 
在 安全 隐患 。 

5) David 的 数字 图 书馆 RFID 协议 

David 等 提出 的 数字 图 书馆 RFID 协议 使 用 基于 预 共 享 秘密 的 伪 随 机 函数 来 实现 认证 。 
到 目前 为 止 ,还 没有 发 现 该 协议 具有 明显 的 安全 漏洞 。 但 是 ,为 了 支持 该 协议 ,必须 在 标签 
电路 中 包含 实现 随机 数 生成 以 及 安全 伪 随 机 函数 的 两 大 功能 模块 ,因此 该 协议 完全 不 适用 
于 低 成 本 的 RFID 系统 。 

6) 分 布 式 RFID 询问 -应 答 认 证 协议 

分 布 式 RFID 询问 -应 答 认证 协议 是 一 种 适用 于 分 布 式 数据 库 环境 的 RFID 认证 协议 ， 
它 是 典型 的 询问 -应 答 型 双向 认证 协议 。 到 目前 为 止 ,还 没有 发 现 该 协议 有 明显 的 安全 漏洞 
或 缺陷 。 但 是 ,在 本 方案 中 ,执行 一 次 认证 协议 需要 标签 进行 两 次 杂凑 运算 ,标签 电路 中 自 
然 也 需要 集成 随机 数 发 生 器 和 杂凑 函数 模块 ,因此 它 同样 也 不 适合 于 低 成 本 RFID 系统 。 

7) LCAP 协议 

LCAP 协议 也 是 询问 -应 答 协议 ,但 是 与 前 面 的 其 他 同类 协议 不 同 , 它 每 次 执行 之 后 都 
要 动态 刷新 标签 的 ID。 但 是 ,与 基于 杂凑 的 ID 变化 协议 的 情况 类 似 ,标签 更 新 其 ID 之 前 ， 
后 端 数据 库 已 经 成 功 完成 相关 ID 的 更 新 。 因 此 ,LCAP 协议 也 不 适用 于 分 布 式 数据 库 的 普 
适 计算 环境 ,同时 也 存在 数据 库 同步 的 潜在 安全 隐患 。 

8) 再 次 加 密 机 制 

RFID 标签 的 计算 资源 和 存储 资源 都 十 分 有 限 ,因此 极 少 有 人 设计 使 用 公 钥 密码 体制 的 
RFID 安全 机 制 。 到 目前 为 止 ,公开 发 表 的 基于 公 钥 密码 机 制 的 RFID 安全 方案 只 有 两 个 : 

(1) Juels 等 人 提出 的 用 于 欧元 钞票 上 标签 标识 的 建议 方案 。 

(2) Golle 等 人 提出 的 可 用 于 实现 RFID 标签 匿名 功能 的 方案 。 

上 述 两 种 方案 都 采用 了 再 次 加 密 机 制 , 但 两 者 还 是 有 显著 的 不 同 : 方案 (1) 是 基于 一 般 
的 安全 公 钥 加 密 / 签 名 方案 ,同时 给 出 了 一 种 基于 椭圆 曲线 体制 的 实现 方案 ,在 这 一 方案 中 ， 
完成 再 次 加 密 的 实体 知道 被 加 密 消 息 的 所 有 知识 (本 方案 中 特 指 钞票 的 序列 号 )。 而 方 
案 (2) 则 采用 了 “通用 再 加 密 ” 技 术 , 这 种 方案 中 ,完成 对 消息 的 再 次 加 密 无 须知 道 关 于 初始 
加 密 该 消息 所 使 用 的 公 钥 的 任何 知识 。 到 目前 为 止 ,还 没有 发 现 Juels 等 人 方案 的 明显 安全 
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图 48 Hash 链 协议 
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漏洞 和 弱点 ,但 是 Golle 等 人 提出 的 方案 被 指出 存在 安全 弱点 和 漏洞 。 
将 来 的 RFID 安全 研究 将 集中 在 RFID 安全 体系 和 标签 天 线 技术 等 方面 。 


4.4 RFID 标签 安全 设置 


RFID 电子 标签 在 国内 的 应 用 越 来 越 多 ,其 安全 性 也 开始 受到 重视 。RFID 电子 标签 自 
身 都 是 有 安全 设计 的 ,但 是 RFID 电子 标签 具备 足够 的 安全 吗 ? 个 人 信息 存储 在 电子 标签 
中 会 泄露 吗 ? RFID 电子 标签 的 安全 机 制 到 底 是 怎样 设计 的 ? 以 下 围绕 目前 应 用 广泛 的 几 
类 电子 标签 探讨 RFID 电子 标签 的 安全 属性 ,并 对 RFID 电子 标签 在 应 用 中 涉及 的 信息 安全 
问题 提出 建议 。 

RFID 技术 最 初 源 于 雷达 技术 ,借助 于 集成 电路 、 微 处 理 器 和 通信 和 网络 等 技术 的 进步 逐 
渐 成 熟 起 来 。RFID 技术 经 美国 军 方 在 海湾 战争 中 军用 物资 管理 方面 的 成 功 应 用 ,使 其 在 交 
通 管理 、 人 员 监 控 \ 动 物 管理 ,铁路 和 集装箱 等 方面 得 到 推广 。 

随 着 全 球 几 家 大 型 零售 商 沃尔玛 、Metro 和 Tesco 等 出 于 对 提高 供应 链 透 明度 的 要 求 
相继 宣布 了 各 自 的 RFID 计划 ,并 得 到 供应 商 的 支持 ,取得 了 很 好 的 成 效 , RFID 技术 打开 了 
一 个 巨大 的 市 场 。 随 着 成 本 的 不 断 降低 和 标准 的 统一 ,RFID 技术 还 将 在 无 线 传输 网 络 、 实 
时 定位 、 安 全 防伪 .个 人 健康 和 产品 全 生命 周期 管理 等 领域 得 到 广泛 的 应 用 。 

可 以 预见 , 随 着 数字 化 时 代 的 发 展 ,以 网 络 信 息 化 管理 ,移动 计算 和 信息 服务 等 作为 迫 
切 需求 和 发 展 动力 ,RFID 这 项 革命 性 的 技术 将 对 人 类 的 生产 和 生活 方式 产生 深远 的 影响 。 


4.4.1 RFID 电子 标签 的 安全 属性 


RFID 电子 标签 的 安全 属性 与 标签 分 类 直接 相关 。 一 般 来 说 ,就 安全 性 等 级 而 言 ,存储 
型 最 低 ,CPU 型 最 高 ,逻辑 加 密 型 居中 ,目前 广泛 使 用 的 RFID 电子 标签 中 也 以 逻辑 加 密 型 
居多 。 存 储 型 RFID 电子 标签 没有 做 特殊 的 安全 设置 ,标签 内 有 一 个 厂商 固化 的 不 重复 .不 
可 更 改 的 唯一 序列 号 ,内 部 存储 区 可 存储 一 定 容量 的 数据 信息 ,不 需要 进行 安全 认证 即 可 读 
出 或 改写 。 虽 然 所 有 的 RFID 电子 标签 在 通信 和 链 路 层 都 没有 采用 加 密 机 制 , 并 且 芯 片 ( 除 
CPU 型 外 ) 本 身 的 安全 设计 也 不 是 非常 强大 ,但 在 应 用 方面 因为 采取 了 很 多 加 密 手段 ,使 其 
可 以 保证 足够 的 安全 性 。 


1. CPU 型 的 RFID 电子 标签 安全 属性 


CPU 型 的 RFID 电子 标签 在 安全 方面 做 得 最 多 ,因此 有 很 大 的 优势 。 但 从 严格 意义 上 
来 说 ,此 种 电子 标签 不 应 归属 为 RFID 电子 标签 范畴 ,而 应 属 非 接触 智能 卡 类 。 但 是 ,由 于 
使 用 ISO 14443 Type A/B 协议 的 CPU 非 接触 智能 卡 与 应 用 广泛 的 RFID 高 频 电子 标签 通 
信 协 议 相 同 , 所 以 通常 也 将 其 归属 为 RFID 电子 标签 类 。 


2. 逻辑 加 密 型 的 RFID 电子 标签 安全 属性 


逻辑 加 密 型 的 RFID 电子 标签 是 具备 一 定 强度 的 安全 设置 ,内 部 采用 了 逮 辑 加 密 电 路 
及 密 钥 算法 。 可 设置 启用 或 关闭 安全 设置 ,如 果 关闭 安全 设置 则 等 同 于 存储 卡 。 如 OTP( 一 
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次 性 编程 ) 功 能 ,只 要 启用 了 这 种 安全 功能 ,就 可 以 实现 一 次 写 入 、 不 可 更 改 的 效果 ,可 以 确 
保 数据 不 被 自 改 。 另 外 ,还 有 一 些 逻 辑 加 密 型 电子 标签 具备 密码 保护 功能 ,这 种 方式 是 逻辑 
加 密 型 的 RFID 电子 标签 采取 的 主流 安全 模式 ,设置 后 可 通过 验证 密 钥 实现 对 存储 区 内 数 
据 信 息 的 读 取 或 改写 等 。 采 用 这 种 方式 的 RFID 电子 标签 使 用 密 钥 一 般 不 会 很 长 ,4B 或 6B 
数字 密码 。 有 了 安全 设置 功能 ,逻辑 加 密 型 的 RFID 电子 标签 还 可 以 具备 一 些 身份 认证 及 
小 额 消费 的 功能 ,如 第 二 代 公 民 身 份 证 Mifare( 菲 利 普 技 术 ) 公 交 卡 等 。 

CPU 类 型 的 广义 RFID 电子 标签 具备 极 高 的 安全 性 ,芯片 内 部 的 COS 本 身 采 用 了 安全 
的 体系 设计 ,并 且 在 应 用 方面 设计 有 密 钥 文件 和 认证 机 制 等 , 比 以 前 的 几 种 RFID 电子 标签 
的 安全 模式 有 了 极 大 的 提高 。 它 还 保持 着 目前 唯一 没有 被 人 破解 的 纪录 。 这 种 RFID 电子 
标签 将 会 更 多 地 被 应 用 于 带 有 金融 交易 功能 的 系统 中 。 


4.4.2 REFID 电子 标签 在 应 用 中 的 安全 设计 


本 节 首 先 探讨 存储 型 RFID 电子 标签 在 应 用 中 的 安全 设计 。 存 储 型 RFID 电子 标签 的 
应 用 主要 是 通过 快速 读 取 ID 号 来 达到 识别 的 目的 ,主要 应 用 于 动物 识别 和 跟踪 追溯 等 方 
面 。 这 种 应 用 要 求 的 是 应 用 系统 的 完整 性 ,而 对 于 标签 存储 数据 的 要 求 不 高 ,多 是 应 用 唯一 
序列 号 的 自动 识别 功能 。 

如 果 部 分 容量 稍 大 的 存储 型 RFID 电子 标签 想 在 芯片 内 存储 数据 ,对 数据 做 加 密 后 写 
入 芯片 即 可 ,这 样 信息 的 安全 性 主要 由 应 用 系统 密 钥 体系 安全 性 的 强 弱 来 决定 ,与 存储 型 
RFID 本 身 没有 太 大 关系 。 

人 逻辑 加 密 型 的 RFID 电子 标签 应 用 极其 广泛 ,并 且 其 中 还 有 可 能 涉及 小 额 消 费 功能 , 因 
此 它 的 安全 设计 是 极其 重要 的 。 逻 辑 加 密 型 的 RFID 电子 标签 内 部 存储 区 一 般 按 块 分 布 ， 
并 有 密 钥 控 制 位 设置 每 个 数据 块 的 安全 属性 。 先 来 解释 一 下 逻辑 加 密 型 的 RFID 电子 标签 
的 密 钥 认证 功能 流程 ,以 Mifare one( 菲 利 普 技 术 ) 为 例 ,参见 图 4.9。 


RFID 读 写 器 


Request 


Response 


RAND B 


1 


|@ ”Encrypt(B)+RAND A 


Data(AB) 


Data(A) @ Encrypt(Data(A)) 


图 49 ”Mifare 认证 流程 图 


Decrypt(Data(AB)) 
Encrypt(A) 


是 


RFID 电 子 标签 


由 图 4. 9 可 知 ,认证 的 流程 可 以 分 成 以 下 几 个 步 又: 
(1) 应 用 程序 通过 RFID 读 写 器 向 RFID 电子 标签 发 送 认 证 请 求 。 
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(2) RFID 电子 标签 收 到 请 求 后 向 读 写 器 发 送 一 个 随机 数 B。 

(3) 读 写 器 收 到 随机 数 B 后 向 RFID 电子 标签 发 送 使 用 要 验证 的 密 钥 加 密 B 的 数据 
包 , 其 中 包含 了 读 写 器 生成 的 另 一 个 随机 数 A。 

(4) RFID 电子 标签 收 到 数据 包 后 ,使 用 芯片 内 部 存储 的 密 钥 进行 解密 , 解 出 随机 数 
B 并 校 验 与 之 发 出 的 随机 数 B 是 否 一 致 。 

(5) 如 果 是 一 致 的 , 则 RFID 使 用 芯片 内 部 存储 的 密 钥 对 A 进行 加 密 并 发 送 给 读 
写 器 。 

(6) 读 写 器 收 到 此 数据 包 后 ,进行 解密 , 解 出 A 并 与 前 述 的 A 比较 是 否 一 致 。 

如 果 上 述 每 一 个 环节 都 成 功 , 则 验证 成 功 ;否则 验证 失败 。 这 种 验证 方式 可 以 说 是 非常 
安全 的 ,破解 的 强度 也 是 非常 大 的 ,比如 Mifare 的 密 钥 为 6B, 也 就 是 48b; Mifare 一 次 典型 
验证 需要 6ms, 如 果 在 外 部 使 用 暴力 破解 的 话 ,所 需 时 间 为 248X6/3.6X106 小 时 ,结果 是 
一 个 非常 大 的 数字 ,常规 破解 手段 将 无 能 为 力 。 

CPU 型 RFID 电子 标签 的 安全 设计 与 逻辑 加 密 型 RFID 电子 标签 相 类 似 ,但 安全 级 别 
与 强度 要 高 得 多 ,CPU 型 RFID 电子 标签 芯片 内 部 采用 了 核心 处 理 器 ,而 不 是 如 逻辑 加 密 型 
芯片 那样 在 内 部 使 用 逻辑 电路 ;并 且 CPU 型 芯片 安装 有 专用 操作 系统 ,可 以 根据 需求 将 存 
储 区 设计 成 不 同 大 小 的 二 进 制 文件 .记录 文件 和 密 钥 文件 等 。 使 用 FAC 设计 每 一 个 文件 的 
访问 权限 , 密 钥 验证 的 过 程 与 上 述 过 程 相似 ,也 是 采用 随机 数 十 密 文 传送 十 芯片 内 部 验证 方 
式 , 但 密 钥 长 度 为 16B。 并 且 还 可 以 根据 芯片 与 读 写 器 之 间 采 用 的 通信 协议 使 用 加 密 传送 
通信 指令 。 


4.4.3 第 二 代 的 RFID 标准 强化 的 安全 功能 


EPC global 在 去 年 开始 制定 第 二 代 RFID 标准 时 ,针对 供应 链 应 用 ,最 终 用 户 提出 了 一 
系列 需求 ,这 些 成 为 制定 第 二 代 RFID 标准 的 重要 基础 。 

EPC 第 二 代 RFID 标准 开发 中 最 主要 的 部 分 是 设计 了 第 二 代 的 UHF( 超 高 频率 ) 空 中 
接口 协议 ,该 协议 用 于 管理 从 标签 到 读 卡 器 的 数据 的 移动 ,为 芯片 中 存储 的 数据 提供 了 一 些 
保护 措施 。 新 标准 采用 “一 个 安全 的 链 路 ”, 保 护 被 动 标签 免 于 受 诸如 RF Dump 和 其 他 一 些 
在 供应 链 的 应 用 中 被 发 现 的 大 多 数 攻击 行为 。 

根据 第 二 代 RFID 标准 规范 , 当 数 据 被 写 入 标签 时 ,数据 在 经 过 空中 接口 时 被 伪装 。 从 
标签 到 读 卡 器 的 所 有 数据 都 被 伪装 ,所 以 当 读 卡 器 在 从 标签 中 读 或 者 写 数据 的 过 程 中 数据 
不 会 被 截取 。 一 旦 数据 被 写 入 标签 ,数据 就 会 被 锁定 ,这 样 只 可 以 读 取 数据 ,而 不 能 改写 , 即 
具有 我 们 常 说 的 只 读 功 能 。 

EPC 被 动 标签 一 般 只 包括 产品 的 识别 信息 ,比如 产品 代码 、 产 品 部 件数 或 者 SKU 数 
目 , 也 就 是 仅仅 包括 物品 本 身 的 信息 。 另 外 ,EPC 被 动 标签 不 包括 依据 秘密 保护 规则 涉及 的 
物品 个 性 化 的 识别 信息 。 

产品 的 识别 信息 通常 是 指 相对 于 个 性 化 识别 信息 而 言 不 太 敏感 的 内 容 , 通 常 伪装 也 只 
针对 其 中 涉及 的 数据 。 数 据 并 不 被 加 密 , 但 是 读 卡 器 需要 一 个 破解 伪装 的 “ 密 钥 ”。 
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4.5 ”RFID 系统 面临 的 攻击 手段 .技术 及 其 防范 


4.5.1 RFID 系统 面临 的 攻击 手段 


RFID 系统 面临 的 攻击 手段 主要 分 为 主动 攻击 和 被 动 攻击 两 类 。 
1. 主动 攻击 


1) 主动 攻击 过 程 

主动 攻击 的 过 程 可 以 采取 如 下 的 手段 : 

(1) 获得 RFID 标签 的 实体 ,通过 物理 手段 在 实验 室 环境 中 去 除 芯 片 封装 ,使 用 微 探 针 
获取 敏感 信号 ,进行 目标 标签 的 重 构 。 

(2) 用 软件 利用 微 处 理 器 的 通用 接口 ,扫描 RFID 标签 和 响应 阅读 器 的 探寻 ,寻求 安全 
协议 加 密 算法 及 其 实现 弱点 ,从 而 删除 或 算 改 标签 内 容 。 

(3) 通过 干扰 广播 .阻塞 信道 或 其 他 手段 ,产生 异常 的 应 用 环境 ,使 合法 处 理 器 产生 故 
障 ,拒绝 服务 器 攻击 等 。 

例如 ,TI 公司 制造 用 于 汽车 防盗 的 数字 签名 收发 器 (DST) 的 内 置 加 密 功 能 的 低频 的 
RFID 设备 。2004 年 某 大 学 和 RSA 实验 室 的 研究 人 员 成 功 复制 了 DST 钥匙 并 盗 取 了 采用 
该 防盗 功能 的 汽车 。 

2) DST RFID 实质 

DST RFID 实质 是 : 采用 隐藏 在 汽车 发 动机 钥匙 中 的 小 芯片 ,通过 钥匙 孔 旁 边 的 读 写 器 
检测 该 芯片 是 否 属于 该 车 辆 。DST 执行 了 一 个 简单 的 询问 /应 答 协 议 。DST 芯片 中 含有 一 
个 密 钥 Ki, 芯 片 以 该 密 钥 为 参数 运行 一 个 加 密 函 数 e, 对 读 写 器 发 起 的 随机 询问 C 产生 一 个 


输出 回应 R, 即 : 
R=e Ki(C) 
TI 公司 隐藏 了 加 密 算法 的 实现 细节 ,增加 了 安全 性 能 。 
3) 破解 过 程 


(1) 逆向 工程 : 即 测定 加 密 算法 。 从 测评 工具 中 得 到 DST 读 写 器 一 一 获取 空白 的 含有 
密 钥 的 DST 芯片 一 一 根据 TI 科学 家 的 一 篇 网 络 上 关于 DST 概要 性 加 密 算法 的 描述 来 测 
定 加 密 算法 。 

(2) 破解 汽车 钥匙 : 采用 暴力 攻击 方式 ,搜索 所 有 可 能 的 240 位 密 钥 空 间 。 

(3) 仿真 : 建造 了 一 个 可 编程 的 射频 装置 ,用 来 模拟 任意 目标 DST 的 输出 。 

总 之 ,攻击 并 克隆 DST 芯片 所 需 的 仅仅 是 一 些 询问 /应 答对 。 


2. 被 动 攻击 


采用 窃听 技术 ,分 析 微 处 理 器 正常 工作 过 程 中 产生 的 各 种 电磁 特征 ,获得 RFID 标签 和 
阅读 器 之 间 的 通信 数据 。 美 国 某 大 学 教授 和 学 生 利用 定向 天 线 和 数字 示波器 监控 RFID 标 
签 被 读 取 时 的 功率 消耗 ,从 而 推导 出 了 密码 。 根 据 功 率 消 耗 模式 可 以 确定 何 时 标签 接收 到 
了 正确 或 者 不 正确 的 密码 位 。 
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主动 攻击 和 被 动 攻击 都 会 使 RFID 应 用 系统 承受 巨大 的 安全 风险 。 而 自 改 或 删除 标签 
内 容 一 般 都 被 用 于 非法 场合 。 


4.5.2 ”RFID 芯片 攻击 技术 


根据 是 否 破坏 芯片 的 物理 封装 ,可 以 将 标签 的 攻击 技术 分 为 破坏 性 攻击 和 非 破坏 性 攻 
击 两 类 。 


1. 破坏 性 攻击 


破坏 性 攻击 初期 与 芯片 反 向 工程 一 致 : 使 用 发 烟 硝酸 去 除 包 衷 裸 片 的 环 氧 树脂 ,用 丙 
酮 /去 离子 水 / 异 丙 醇 清洗 、 氢 氟 酸 超声 浴 进 一 步 去 除 芯片 的 各 层 金属 。 去 除 封装 后 ,通过 金 
丝 键 合 恢复 芯片 功能 焊 盘 与 外 界 的 电器 连接 ,最 后 手动 用 微 探 针 获取 感 兴趣 的 信号 。 


2. 非 破坏 性 攻击 


非 破坏 性 攻击 针对 于 具有 微 处 理 器 的 产品 ,手段 有 软件 攻击 、 窃 听 技术 和 故障 产生 技 
术 。 软 件 攻 击 使 用 微 处 理 器 的 通信 接口 ,寻求 安全 协议 .加 密 算法 及 其 物理 实现 弱点 ;窃听 
技术 采用 高 时 域 精度 的 方法 分 析 电 源 接 口 在 微 处 理 器 正常 工作 中 产生 的 各 种 电磁 辐射 的 模 
拟 特征 ;故障 产生 技术 通过 产生 异常 的 应 用 环境 条 件 , 使 处 理 器 发 生 故 障 ,从 而 获得 额外 的 
访问 路 径 。 


4.5.3 破坏 性 攻击 及 防范 


1. 版 图 重 构 


通过 研究 连接 模式 和 跟踪 金属 连 线 穿越 可 见 模块 ,如 ROM、RAM、EEPROM 或 指令 译 
码 器 的 边界 ,可 以 迅速 识别 芯片 上 的 一 些 基本 结构 ,如 数据 线 和 地 址 线 。 

版 图 重 构 技术 也 可 以 获得 只 读 型 ROM 的 内 容 。ROM 的 位 模式 存储 在 扩散 层 中 ,用 和 氢 
氟 酸 去 除 芯 片 各 覆盖 层 后 ,根据 扩散 层 的 边缘 易 辩 认 出 ROM 的 内 容 。 在 基于 微 处 理 器 的 
RFID 设计 中 ,ROM 可 能 不 包含 任何 加 密 的 密 钥 信息 ,但 包含 足够 的 MO、 存 取 控 制 .加 密 程 
序 等 信息 。 因 此 推荐 使 用 FLASH 或 EEPROM 等 非 易 失 性 存储 器 存放 程序 。 


2. 存储 器 读 出 技术 


在 安全 认证 过 程 中 ,对 于 非 易 失 性 存储 器 至 少 访问 一 次 数据 区 ,因此 可 以 使 用 微 探 针 监 
听 总 线 上 的 信号 获取 重要 数据 。 为 了 保证 存储 器 数据 的 完整 性 ,需要 在 每 次 芯片 复位 后 计 
算 并 检验 存储 器 的 校 验 结果 ,这 样 就 提供 了 快速 访问 全 部 存储 器 的 攻击 手段 。 


4.5.4 非 破坏 性 攻击 及 其 防范 


微 处 理 器 本 质 上 是 成 百 上 千 个 触发 器 寄存器 、 锁 存 器 和 SRAM 单元 的 集合 ,这 些 器 件 
定义 了 处 理 器 的 当前 状态 ,结合 组 合 逻辑 即 可 知道 下 一 时 钟 的 状态 。 
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(1) 每 个 晶体 管 和 连 线 都 具有 电阻 和 电容 特性 ,其 温度 和 电压 等 特性 决定 了 信号 的 传 
输 延 时 。 

(2) 触发 器 在 很 短 的 时 间 间 隔 内 采样 并 和 阔 值 电压 比较 。 

(3) 触发 器 仅 在 组 合 逻 辑 稳定 后 的 前 一 状态 上 建立 新 的 稳 态 。 

(4) 在 CMOS 门 的 每 次 翻转 变化 中 ,P 管 和 NN 管 都 会 开启 一 个 短暂 的 时 间 , 从 而 在 电源 
上 造成 一 次 短路 。 如 果 没 有 翻转 则 电源 电流 很 小 。 

(5) 当 输出 改变 时 ,电源 电流 会 根据 负载 电容 的 充 放电 而 变化 。 

常见 的 攻击 手段 主要 有 两 种 , 即 电流 分 析 攻 击 和 故障 攻击 。 

按照 以 上 对 于 RFID 系统 可 能 面临 攻击 手段 的 描述 ,设想 并 提出 以 下 的 RFID 系统 安全 
解决 方案 。 


习题 四 


. 简 述 RFID 系统 的 基本 组 成 ,并 绘图 说 明 安全 信道 及 不 安全 信道 的 区 间 。 
. 依据 标签 的 能 量 来 源 可 以 将 标签 分 为 哪 几 大 类 ? 

. REFID 面临 的 隐私 威胁 包括 哪 几 方 面 ? 

. RFID 攻击 模式 有 哪儿 种 ? 

. 简要 说 明 RFID 系统 的 通信 模型 。 

.恶意 跟踪 会 发 生 在 哪儿 个 层次 ?请 详细 说 明 。 

. 高 度 安全 的 射频 识别 系统 能 够 对 哪些 单项 攻击 予以 防范 ? 

. 安全 RFID 系统 的 基本 特征 是 什么 ? 

. RFID 技术 中 有 哪些 隐私 问题 ? 其 保护 措施 是 什么 ? 

.EPC 系统 安全 问题 主要 有 哪 几 大 类 ? 

.请 进行 EPC global 系统 的 纵向 安全 和 隐私 威胁 分 析 。 

12. 针对 RFID EPC 标签 的 个 人 隐私 威胁 有 哪些 ? 

13， 如 何 使 用 物理 途径 来 保护 RFID 标签 的 安全 性 ? 

14. 如 何 采用 密码 机 制 解决 RFID 的 安全 问题 ? 举 两 三 个 例子 对 RFID 安全 协议 进行 
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15. 在 应 用 中 如 何 进行 RFID 电子 标签 的 安全 设计 ? 
16. RFID 系统 面临 的 攻击 手段 有 哪些 ? 
17. 举例 说 明 RFID 系统 安全 技术 解决 方案 。 


第 5 童 无 线 传感器 网 络 安全 


5.1 无 线 传感器 网 络 安全 概述 


随 着 传感器 .计算 机 、 无 线 通信 及 微机 电 等 技术 的 发 展 和 相互 融合 ,产生 了 无 线 传感器 
网 络 (Wireless Sensor Network,WSN) ,目前 WSN 的 应 用 越 来 越 广泛 ,已 涉及 国防 军事 、 国 
家 安全 等 敏感 领域 ,安全 问题 的 解决 是 这 些 应 用 得 以 实施 的 基本 保证 。WSN 一 般 部 署 广 
泛 , 节 点 位 置 不 确定 ,网 络 的 拓扑 结构 也 处 于 不 断 变 化 之 中 。 

另外 , WSN 节点 在 通信 和 能力、 计算 能 力 、 存 储 能 力 、 电 源 能 量 、 物 理 安全 和 无 线 通信 等 方 
面 存在 固有 的 局 限 性 ,WSN 的 这 些 局 限 性 直接 导致 了 许多 成 熟 有 效 的 安全 方案 无 法 顺利 
应 用 。 正 是 这 种 “供与 “ 求 "之 间 的 矛盾 使 得 WSN 安全 研究 成 为 热点 。 


5.1.1 无 线 传感器 网 络 安 全 问题 


1. 无 线 传感器 网 络 与 安全 相关 的 特点 


WSN 与 安全 相关 的 特点 主要 有 以 下 几 个 。 

(1) 资源 受 限 ,通信 环境 恶劣 。 

WSN 单个 节点 能 量 有 限 ,存储 空 间 和 计算 能 力 差 ,直接 导致 了 许多 成 熟 、 有 效 的 安全 协 
议和 算法 无 法 顺利 应 用 。 另 外 ,节点 之 间 采 用 无 线 通信 方式 ,信道 不 稳定 ,信号 不 仅 容易 被 
窃听 ,而 且 容易 被 干扰 或 筑 改 。 

(2) 部 署 区 域 的 安全 无 法 保证 ,节点 易 失 效 。 

传感器 节点 一 般 部 署 在 无 人 值守 的 恶劣 环境 或 敌对 环境 中 ,其 工作 空间 本 身 就 存在 不 
安全 因素 ,节点 很 容易 受到 破坏 或 被 俘 ,一 般 无 法 对 节点 进行 维护 ,节点 很 容易 失效 。 

(3) 网 络 无 基础 框架 。 

在 WSN 中 ,各 节点 以 自 组 织 的 方式 形成 网 络 ,以 单 跳 或 多 跳 的 方式 进行 通信 ,由 节点 
相互 配合 实现 路 由 功能 ,没有 专门 的 传输 设备 ,传统 的 端 到 端的 安全 机 制 无 法 直接 应 用 。 

(4) 部 署 前 地 理 位 置 具有 不 确定 性 。 

在 WSN 中 ,节点 通常 随机 部 署 在 目标 区 域 ,任何 节点 之 间 是 否 存在 直接 连接 在 部 署 前 
是 未 知 的 。 


2. 无 线 传感器 网 络 的 条 件 限制 


无 线 传感器 网 络 安全 要 求 是 基于 传感器 节点 和 网 络 自身 条 件 的 限制 提出 的 。 其 中 传 感 
器 节点 的 限制 是 无 线 传感器 网 络 所 特有 的 ,包括 电池 能 量 、 充 电能 力 、 睡 眼 模 式 、 内 存储 器 、 
传输 范围 干预 保护 及 时 间 同 步 。 
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网 络 限 制 与 普通 的 Ad hoc 网 络 一 样 ,包括 有 限 的 结构 预 配置 数据 传输 速率 和 信息 包 
大 小 、 通 道 误差 率 、 间 欣 连 通 性 、 反 应 时 间 和 孤立 的 子 网 络 。 这 些 限制 对 于 网 络 的 安全 路 由 
协议 设计 ,保密 性 和 认证 性 算法 设计 、 密 钥 设 计 、 操 作 平 台 和 操作 系统 设计 以 及 网 络 基 站 设 
计 等 方面 都 有 极 大 的 挑战 。 


3. 无 线 传感器 网 络 的 安全 威胁 


由 于 无 线 传感器 网 络 自身 条 件 的 限制 ,再 加 上 网 络 的 运行 多 在 敌手 区 域内 (主要 是 军事 
应 用 ) ,使 得 网 络 很 容易 受到 各 种 安全 威胁 ,其 中 一 些 与 一 般 的 Ad hoc 网 络 受到 的 安全 威胁 
相似 : 

(1) 窃听 : 一 个 攻击 者 能 够 窃听 网 络 节点 传送 的 部 分 或 全 部 信息 。 

(2) 哄骗 : 节点 能 够 伪装 其 真实 身份 。 

(3) 模仿 : 一 个 节点 能 够 表现 出 另 一 节点 的 身份 。 

(4) 危及 传感器 节点 安全 : 若 一 个 传感器 及 其 密 钥 被 捕获 ,存储 在 该 传感器 中 的 信息 便 
会 被 敌手 读 出 。 

(5) 注入 : 攻击 者 把 破坏 性 数据 加 入 到 网 络 传输 的 信息 中 或 加 入 到 广播 流 中 。 

(6) 重 放 : 敌手 会 使 节点 误 认 为 加 入 了 一 个 新 的 会 议 , 再 对 旧 的 信息 进行 重新 发 送 。 重 
放 通 常 与 窍 听 和 模仿 混合 使 用 。 

(7) 拒绝 服务 (DoS) : 通过 耗 尽 传感器 节点 资源 来 使 节点 丧失 运行 能 力 。 

除了 上 面 这 些 攻击 种 类 外 ,无 线 传感器 网 络 还 有 其 独 有 的 安全 威胁 种 类 : 

(1) HELLO 扩散 法 : 这 是 一 种 DoS( 拒 绝 服务 ) 攻 击 , 它 利用 了 无 线 传感器 网 络 路 由 协 
议 的 缺陷 ,允许 攻击 者 使 用 强 信号 和 强 处 理 能 量 让 节点 误 认 为 网 络 有 一 个 新 的 基站 。 

(2) 陷阱 区 : 攻击 者 能 够 让 周围 的 节点 改变 数据 传输 路 线 而 经 过 一 个 被 捕获 的 节点 或 
是 一 个 陷阱 。 

在 物 联 网 中 ,采用 RFID 标签 是 对 物体 静态 属性 的 标识 ,而 传 感 技术 则 用 来 标识 物体 的 
动态 属性 ,构成 物体 感知 的 前 提 。 从 网 络 层次 结构 看 , 现 有 的 传 感 网 组 网 技术 面临 的 安全 问 


题 如 表 5. 1 所 示 。 
表 5.1 传感器 网 络 组 网 技术 面临 的 安全 问题 

层 次 受到 的 攻击 
物理 层 物理 破坏 、 信 道 阻塞 
链 路 层 制造 冲突 攻击 ,反馈 伪造 攻击 , 耗 尽 攻击 . 链 路 层 阻塞 等 
网 络 层 路 由 攻击 、 虫 洞 攻 击 、 女 巫 攻击 、 陷 洞 攻 击 、.Helb 洪 泛 攻击 
应 用 层 去 同步 ,拒绝 服务 流 等 

4. 安全 需求 

WSN 的 安全 需求 主要 有 以 下 几 个 方面 。 

1) 机 密 性 


机 密 性 要 求 对 WSN 节点 间 传 输 的 信息 进行 加 密 , 让 任何 人 在 截获 节点 间 的 物理 通信 
信号 后 不 能 直接 获得 其 所 携带 的 消息 内 容 。 


106 


第 5 章 无 线 传 感 器 网 络 安全 


2) 完整 性 

WSN 的 无 线 通信 环境 为 恶意 节点 实施 破坏 提供 了 方便 ,完整 性 要 求 节点 收 到 的 数据 在 
传输 过 程 中 未 被 插入 、 删 除 或 自 改 , 即 保证 接收 到 的 消息 与 发 送 的 消息 是 一 致 的 。 

3) 健壮 性 

WSN 一 般 被 部 署 在 恶劣 环境 、 无 人 区 域 或 敌 方 阵 地 中 ,外 部 环境 条 件 具 有 不 确定 性 。 
另外 , 随 着 旧 节 点 的 失效 或 新 节点 的 加 入 ,网 络 的 拓扑 结构 不 断 发 生变 化 。 因 此 ,WSN 必须 
具有 很 强 的 适应 性 ,使 得 单个 节点 或 者 少量 节点 的 变化 不 会 威胁 整个 网 络 的 安全 。 

4) 真实 性 

WSN 的 真实 性 主要 体现 在 两 个 方面 : 点 到 点 的 消息 认证 和 广播 认证 。 点 到 点 的 消息 
认证 使 得 某 一 节点 在 收 到 另 一 节点 发 送 来 的 消息 时 ,能 够 确认 这 个 消息 确实 是 从 该 节点 发 
送 过 来 的 ,而 不 是 别人 冒充 的 ;广播 认证 主要 解决 单个 节点 向 一 组 节点 发 送 统一 通告 时 的 认 
证 安全 问题 。 

5) 新 鲜 性 

在 WSN 中 ,由 于 网 络 多 路 径 传输 延 时 的 不 确定 性 和 恶意 节点 的 重 放 攻 击 , 使 得 接收 方 
可 能 收 到 延 后 的 相同 数据 包 。 新 鲜 性 要 求 接收 方 收 到 的 数据 包 都 是 最 新 的 、 非 重 放 的 , 即 体 
现 消 息 的 时 效 性 。 

6) 可 用 性 

可 用 性 要 求 WSN 能 够 按 预 先 设 定 的 工作 方式 向 合法 的 用 户 提供 信息 访问 服务 。 然 
而 ,攻击 者 可 以 通过 信号 干扰 、 伪 造 或 者 复制 等 方式 使 WSN 处 于 部 分 或 全 部 瘫痪 状态 ,从 
而 破坏 系统 的 可 用 性 。 

7) 访问 控制 

WSN 不 能 通过 设置 防火 墙 进行 访问 过 滤 , 由 于 硬件 受 限 ,也 不 能 采用 非 对 称 加 密 体制 
的 数字 签名 和 公 钥 证 书 机 制 。WSN 必须 建立 一 套 符合 自身 特点 ,综合 考虑 性 能 ,效率 和 安 
全 性 的 访问 控制 机 制 。 

传感器 网 络 安全 目标 如 表 5. 2 所 示 。 


表 5.2 传感器 网 络 安全 目标 


目 标 意 义 主要 技术 
可 用 性 确保 网 络 即使 在 受到 攻击 (如 DoS 攻击 ) 时 也 能 | 元 余 . 和 人 侵 检测 .容错 、 容 侵 、 网 
够 完成 基本 的 任务 络 自 愈 和 重 构 
机 密 性 保证 机 密 信息 不 会 暴露 给 未 授权 的 实体 信息 加 密 和 解密 
完整 性 保证 信息 不 会 被 窜改 MAC. 散 列 ,签名 
不 可 否认 性 信息 源 发 起 者 不 能 够 否认 自己 发 送 的 信息 签名 ,身份 认证 ,访问 控制 
数据 新 鲜 度 保证 用 户 在 指定 时 间 内 得 到 所 需要 的 信息 网 络 管理 .人 侵 检测 访问 控制 


5.1.2 无 线 传感器 网 络 的 安全 机 制 


安全 是 系统 可 用 的 前 提 , 需 要 在 保证 通信 安全 的 前 提 下 ,降低 系统 开销 ,研究 可 行 的 安 
全 算法 。 由 于 无 线 传感器 网 络 受到 的 安全 威胁 和 移动 Ad hoc 网 络 不 同 , 所 以 现 有 的 网 络 安 
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全 机 制 无 法 应 用 于 本 领域 ,需要 开发 专门 协议 。 目 前 主要 存在 两 种 思路 。 

一 种 思想 是 从 维护 路 由 安全 的 角度 出 发 ,寻找 尽 可 能 安全 的 路 由 以 保证 网 络 的 安全 。 
如 果 路 由 协议 被 破坏 ,导致 传送 的 消息 被 算 改 .那么 对 于 应 用 层 上 的 数据 包 来 说 没有 任何 的 
安全 性 可 言 。 一 种 方法 是 “有 安全 意识 的 路 由 ”(SAR) ,其 思想 是 找 出 真实 值 和 节点 之 间 的 
关系 ,然后 利用 这 些 真实 值 生成 安全 的 路 巾 。 

该 方法 解决 了 两 个 问题 , 即 如 何 保证 数据 在 安全 路 径 中 传送 和 路 由 协议 中 的 信息 安全 
性 。 这 种 模型 中 , 当 节点 的 安全 等 级 达 不 到 要 求 时 ,就 会 自动 地 从 路 由 选择 中 退出 以 保证 整 
个 网 络 的 路 由 安全 。 可 以 通过 多 径路 由 算法 改善 系统 的 稳健 性 (robustness) ,数据 包 通 过 路 
由 选择 算法 在 多 径路 径 中 向 前 传送 ,在 接收 端 内 通过 前 向 纠 错 技术 得 到 重建 。 

另 一 种 思想 是 把 着 重点 放 在 安全 协议 方面 ,在 此 领域 也 出 现 了 大 量 的 研究 成 果 。 假 定 
传感器 网 络 的 任务 是 为 高 级 政要 人 员 提 供 安全 保护 ,提供 一 个 安全 解决 方案 将 为 解决 这 类 
安全 问题 带 来 一 个 合适 的 模型 。 在 具体 的 技术 实现 上 , 先 假定 基站 总 是 正常 工作 的 ,并 且 总 
是 安全 的 ,满足 必要 的 计算 速度 和 存储 器 容量 ,基站 功率 满足 加 密 和 路 由 的 要 求 ;通信 模式 
是 点 到 点 ,通过 端 到 端的 加 密 保证 了 数据 传输 的 安全 性 ;射频 层 总 是 正常 工作 。 基 于 以 上 前 
提 , 典 型 的 安全 问题 可 以 总 结 为 以 下 4 点 : 

(1) 信息 被 非法 用 户 截获 。 

(2) 一 个 节点 遭 破坏 。 

(3) 识别 伪 节 点 。 

(4) 如 何 向 已 有 传感器 网 络 添加 合法 的 节点 。 

以 下 方案 是 不 采用 任何 路 由 机 制 。 在 此 方案 中 ,每 个 节点 和 基站 分 享 一 个 唯一 的 64 位 
密 钥 和 一 个 公共 的 密 钥 ,发 送 端 会 对 数据 进行 加 密 ,接收 端 接收 到 数据 后 ,根据 数据 中 的 地 
址 选择 相应 的 密 钥 对 数据 进行 解密 。 

无 线 传 感 器 网 络 中 的 两 种 专用 安全 协议 是 安全 网 络 加 密 协 议 (Sensor Network 
Encryption Protocol,SNEP) 和 基于 时 间 的 高 效 的 容忍 丢 包 的 流 认证 协议 uTESLA。 

SNEP 的 功能 是 提供 节点 到 接收 机 之 间 数 据 的 鉴 权 .加 密 和 刷新 ,uTESLA 的 功能 是 对 
广播 数据 的 鉴 权 。 因 为 无 线 传感器 网 络 可 能 是 布置 在 敌对 环境 中 的 ,为 了 防止 供给 者 向 网 
络 注入 伪造 的 信息 ,需要 在 无 线 传感器 网 络 中 实现 基于 源 端 认证 的 安全 组 播 。 但 由 于 在 无 
线 传感器 网 络 中 不 能 使 用 公 钥 密码 体制 ,因此 源 端 认证 的 组 播 并 不 容易 实现 。 

传感器 网 络 安全 协议 SP INK 中 提出 了 基于 源 端 认 证 的 组 播 机 制 uTESLA ,该 方案 是 
对 TESLA 协议 的 改进 ,使 之 适用 于 传感器 网 络 环境 。 其 基本 思想 是 采用 Hash 链 的 方法 在 
基站 生成 密 钥 链 ,每 个 节点 预先 保存 密 钥 链 最 后 一 个 密 钥 作为 认证 信息 ,整个 网 络 需要 保持 
松散 同步 ,基站 按时 段 依次 使 用 密 钥 链 上 的 密 钥 加 密 消 息 认 证 码 ,并 在 下 一 时 段 公 布 该 
密 钥 。 


5.1.3 无 线 传感器 网 络 的 安全 分 析 


由 于 传感器 网 络 自身 的 一 些 特性 ,使 其 在 各 个 协议 层 都 容易 遭受 到 各 种 形式 的 攻击 。 
下 面 着 重 分 析 对 无 线 传感器 网 络 的 攻击 形式 。 
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1. 物理 层 的 攻击 和 防御 


物理 层 中 安全 的 主要 问题 就 是 如 何 建立 有 效 的 数据 加 密 机 制 , 由 于 传感器 节点 的 限制 ， 
其 有 限 的 计算 能 力 和 存储 空间 使 基于 公 钥 的 密码 体制 难以 应 用 于 无 线 传感器 网 络 中 。 为 了 
节省 传感器 网 络 的 能 量 开 销 和 提供 整体 性 能 ,也 尽量 要 采用 轻 量 级 的 对 称 加 密 算法 。 

Prasanth Ganesan 等 人 详细 分 析 了 对 称 加 密 算法 在 无 线 传感器 网 络 中 的 负载 ,在 多 种 
嵌入 式 平台 构架 上 分 别 测试 了 RC4、RC5 和 IDEA 等 5 种 常用 的 对 称 加 密 算法 的 计算 开销 。 
测试 表明 ,在 无 线 传感器 平台 上 性 能 最 优 的 对 称 加 密 算法 是 RC4, 而 不 是 目前 传感器 网 络 中 
所 使 用 的 RC5 。 

由 于 对 称 加 密 算法 的 局 限 性 ,不 能 方便 地 进行 数字 签名 和 身份 认证 ,给 无 线 传感器 网 络 
安全 机 制 的 设计 带 来 了 极 大 的 困难 。 因 此 高 效 的 公 钥 算法 是 无 线 传 感 器 网 络 安全 牙 待 解决 
的 问题 。 


2. 链 路 层 的 攻击 和 防御 


数据 链 路 层 或 介质 访问 控制 层 为 邻居 节点 提供 可 靠 的 通信 通道 ,在 MAC 协议 中 ,节点 
通过 监测 邻居 节点 是 否 发 送 数据 来 确定 自身 是 否 能 访问 通信 信道 。 这 种 载波 监听 方式 特别 
容易 遭 到 拒绝 服务 (DoS) 攻 击 。 在 某 些 MAC 层 协 议 中 使 用 载波 监听 的 方法 来 与 相 邻 节点 
协调 使 用 信道 。 当 发 生 信道 冲突 时 ,节点 使 用 二 进 制 值 指数 倒退 算法 来 确定 重新 发 送 数据 
的 时 机 ,攻击 者 只 需要 产生 一 个 字 节 的 冲突 就 可 以 破坏 整个 数据 包 的 发 送 。 

因为 只 要 部 分 数据 的 冲突 就 会 导致 接收 者 对 数据 包 的 校 验 和 不 匹配 。 导 致 接收 者 会 发 
送 数据 冲突 的 应 答 控制 信息 ACK 使 发 送 节点 根据 二 进 制 指数 倒退 算法 重新 选择 发 送 时 机 。 
这 样 经 过 反复 冲突 ,使 节点 不 断 倒 退 ,从 而 导致 信道 阻塞 。 恶意 节点 有 计划 地 重复 占用 信道 
比 长 期 阻塞 信道 要 花 更 少 的 能 量 , 而 且 相 对 于 节点 载波 监听 的 开销 ,攻击 者 所 消耗 的 能 量 非 
常 小 ,对 于 能 量 有 限 的 节点 ,这 种 攻击 能 很 快 耗 尽 节点 有 限 的 能 量 。 所 以 ,载波 冲突 是 一 种 
有 效 的 DoS 攻击 方法 。 

虽然 纠 错 码 提供 了 消息 容错 的 机 制 , 但 是 纠 错 码 只 能 处 理 信道 偶然 错误 ,而 一 个 恶意 节 
点 可 以 破坏 比 纠 错 码 所 能 恢复 的 错误 更 多 的 信息 。 纠 错 码 本 身 也 导致 了 额外 的 处 理 和 通信 
开销 。 目 前 来 看 ,这 种 利用 载波 冲突 对 DoS 的 攻击 还 没有 有 效 的 防范 方法 。 

解决 的 方法 就 是 对 MAC 的 准 入 控制 进行 限 速 , 网 络 自动 忽略 过 多 的 请 求 ,从 而 不 必 对 
于 每 个 请 求 都 应 答 ,节省 了 通信 的 开销 。 但 是 采用 时 分 多 路 算法 的 MAC 协议 通常 系统 开 
销 比较 大 ,不 利于 传感器 节点 节省 能 量 。 


3. 网 络 层 的 攻击 和 防御 


通常 ,在 无 线 传感器 网 络 中 ,大 量 的 传感器 节点 密集 地 分 布 在 一 个 区 域 里 ,消息 可 能 需 
要 经 过 若干 节点 才能 到 达 目 的 地 ,而 且 由 于 传感器 网 络 的 动态 性 ,因此 没有 固定 的 基础 结 
构 , 所 以 每 个 节点 都 需要 具有 路 由 的 功能 。 由 于 每 个 节点 都 是 潜在 的 路 由 节点 ,因此 更 易于 
受到 攻击 。 无 线 传感器 网 络 的 主要 攻击 种 类 较 多 ,简单 介绍 如 下 。 

1) 虚假 路 由 信息 

通过 欺骗 ,更 改 和 重 发 路 由 信息 ,攻击 者 可 以 创建 路 由 环 ,吸引 或 者 拒绝 网 络 信息 流通 
量 , 延 长 或 者 缩短 路 由 路 径 ,形成 虚假 的 错误 消息 ,分割 网 络 ,增加 端 到 端的 时 延 。 
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2) 选择 性 的 转发 

节点 收 到 数据 包 后 ,有 选择 地 转发 或 者 根本 不 转发 收 到 的 数据 包 , 导 致 数据 包 不 能 到 达 
目的 地 。 

3) 污水 池 (sinkhole) 攻 击 

攻击 者 通过 声称 自己 电源 充足 ,性 能 可 靠 而 且 高 效 ,使 泄密 节点 在 路 由 算法 上 对 周围 节 
点 具有 特别 的 吸引 力 ,吸引 周围 的 节点 选择 它 作 为 路 由 路 径 中 的 点 。 引 诱 该 区 域 几乎 所 有 
的 数据 流通 过 该 泄密 节点 。 

4) Sybil 攻击 

在 这 种 攻击 中 ,单个 节点 以 多 个 身份 出 现在 网 络 中 的 其 他 节点 面前 ,使 之 具有 更 高 概率 
被 其 他 节点 选 作 路 由 路 径 中 的 节点 ,然后 和 其 他 攻击 方法 结合 使 用 ,达到 攻击 的 目的 。 它 降 
低 具 有 容错 功能 的 路 由 方案 的 容错 效果 ,并 对 地 理 路 由 协议 产生 重大 威胁 。 

5) 蠕虫 洞 (wormholes) 攻 击 

攻击 者 通过 低 延 时 链 路 将 某 个 网 络 分 区 中 的 消息 发 往 网 络 的 另 一 分 区 重 放 。 常 见 的 形 
式 是 两 个 恶意 节点 相互 串通 ,合谋 进行 攻击 。 

6) Hello 洪 泛 攻击 

很 多 路 由 协议 需要 传感器 节点 定时 地 发 送 Hello 包 , 以 声明 自己 是 其 他 节点 的 邻居 节 
点 。 而 收 到 该 Hello 报 文 的 节点 则 会 假定 自身 处 于 发 送 者 正常 无 线 传 输 范 围 内 。 而 事实 
上 ,该 节点 离 恶意 节点 的 距离 较 远 ,以 普通 的 发 射 功率 传输 的 数据 包 根 本 到 不 了 目的 地 。 如 
果 受 到 攻击 ,后 果 非 常 严 重 。 

7) 选择 性 转发 

恶意 节点 可 以 概率 性 地 转发 或 者 丢弃 特定 消息 ,而 使 网 络 陷 入 混乱 状态 。 如 果 恶 意 节 
点 抛弃 所 有 收 到 的 信息 ,将 形成 黑洞 攻击 ,但 是 这 种 做 法 会 使 邻居 节点 认为 该 恶意 节点 已 失 
效 , 从 而 不 再 经 由 它 转发 信息 包 , 因 此 选择 性 转发 更 具 欺 骗 性 。 其 有 效 的 解决 方法 是 多 径路 
由 ,节点 也 可 以 通过 概率 否决 投票 并 由 基站 或 徐 头 对 恶意 节点 进行 撤销 。 

8) DoS 攻击 

Dos 攻击 是 指 任何 能 够 削弱 或 消除 WSN 正常 工作 能 力 的 行为 或 事件 ,对 网 络 的 可 用 
性 危害 极 大 ,攻击 者 可 以 通过 拥塞 、 冲 突 、 资 源 耗 尽 、 方 向 误导 和 去 同步 等 多 种 方法 在 WSN 
协议 栈 的 各 个 层次 上 进行 攻击 。 可 以 使 用 一 种 基于 流量 预测 的 传感器 网 络 DoS 攻击 检测 方 
案 , 从 DoS 攻击 引发 的 网 络 流量 异常 变化 人 手 ,根据 已 有 的 流量 观测 值 来 预测 未 来 流量 ,如 
果真 实 的 流量 与 预测 流量 存在 较 大 偏差 , 则 判定 为 一 种 异常 或 攻击 。 在 一 种 简单 ,高效 的 流 
量 预 测 模型 的 基础 上 ,设计 一 种 基于 阔 值 超越 的 流量 异常 判断 机 制 ,使 路 径 中 的 节点 在 攻击 
发 生 后 自发 地 检测 异常 ,最 后 提出 一 种 报警 评估 机 制 以 提高 检测 质量 。 

传感器 网 络 中 的 攻击 和 防御 手段 可 总 结 为 表 5. 3。 


表 5.3 传感器 网 络 中 的 攻击 和 防御 手段 


网 络 层 次 攻击 手段 防御 方法 
物理 层 拥塞 攻击 调频 ,消息 优 先 级 、 低 占 空 比 . 区 域 映射 .模式 转换 
物理 破坏 破坏 证 明 、 伪 装 和 隐藏 
冲突 攻击 纠 错 码 
链 路 层 
耗 尽 攻击 设置 竞争 门限 
非 公平 竞争 短 帧 和 非 优先 级 策略 


110 


[AAANANNANANNANANNANANANANANANANANANNA 


第 5 章 无 线 传 感 器 网 络 安全 


续 表 
网 络 层 次 攻击 手段 防御 方法 
丢弃 和 贪 禁 破坏 元 余 路 径 、 探 测 机 制 
汇聚 节点 攻击 加 密 和 逐 跳 认证 机 制 
方向 误导 攻击 出 口 过 滤 、 认 证 监视 机 制 
黑洞 攻击 认证 ,监视 .元 余 机 制 
传输 层 泛 洪 攻击 客户 端 谜 题 
失 步 攻 击 认证 


5.2 无 线 传 感 器 网 络 的 基本 安全 技术 


传感器 网 络 的 基本 安全 技术 包括 基本 安全 框架 、 密 钥 分 配 、 安 全 路 由 和 入侵 检 测 以 及 加 
密 技 术 等 。 其 中 整合 多 种 安全 机 制 于 一 体 , 如 图 5. 1 所 示 。 构 成 传感器 网 络 的 整体 安全 框 
架 是 构建 安全 传感器 网 络 的 重要 手段 。 


安全 组 件 安全 体系 结构 传感器 协议 栈 
安全 融合 安全 定位 es 应 用 层 

> 应 安全 防 
ee Wi 攻击 技 | | 得 一 中 则 件 层 
认证 安全 路 由 术 DoS 、 私有 、 间 件 层 

安全 服务 中 间 人 、 信人 和 
访问 控制 重 放 、 节 “il 3 
密 钥 管 理 访问 控制 ]| 本 让: 贡 || 深信 操作 系统 层 

同 控 制 、… 
安全 原 语 密码 算法 密码 分 析 硬件 层 


图 51 传感器 网 络 安全 体系 结构 


5.2.1 安全 框架 与 密 钥 分 配 


1. 安全 框架 


现 有 的 安全 框架 有 SPIN( 包 含 SNEP 和 uTESLA 两 个 安全 协议 )、Tiny Sec、 参 数 化 跳 
频 、LisP 和 LEAP 协议 等 。 


2. 密 钥 分 配 


传感器 网 络 的 密 钥 分 配 主要 倾向 于 采用 随机 预 分 配 模型 的 密 钥 分 配方 案 , 其 主要 思想 
是 在 网 络 构建 之 前 ,每 个 节点 从 一 个 较 大 的 密 钥 池 中 随机 选择 少量 密 钥 构 成 密 钥 环 , 使 得 任 
意 两 个 节点 之 间 能 以 一 个 较 大 的 概率 共享 密 钥 。 
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5.2.2 安全 路 由 


由 于 传感器 网 络 中 许多 路 由 协议 相对 简单 ,更 易 受到 攻击 ,所 以 常常 采用 安全 路 由 来 增 
加 网 络 的 安全 性 ,常用 的 方法 有 : 

(1) 路 由 中 加 入 容 侵 策略 ,可 提高 物 联网 的 安全 性 。 

(2) 用 多 径路 由 选择 方法 抵御 选择 性 转发 攻击 。 采 用 多 径路 由 选择 ,允许 节点 动态 地 
选择 一 个 分 组 的 下 一 跳 节 点 ,能 更 进一步 地 减少 人 侵 者 控制 数据 流 的 计划 ,从 而 提供 保护 。 

(3) 在 路 由 设计 中 加 入 广播 半径 限制 抵御 洪 泛 攻击 。 采 用 广播 半径 限制 ,每 个 节点 都 
限制 一 个 数据 发 送 半径 ,使 它 只 能 对 落 在 这 个 半径 区 域内 的 节点 发 送 数据 ,而 不 能 对 整个 网 
络 广播 ,这 样 就 把 节点 的 广播 范围 限制 在 一 定 的 地 理 区 域 。 具 体 可 以 对 节点 设置 最 大 广播 
半径 Rmax 参数 。 

(4) 在 路 由 设计 中 加 入 安全 等 级 策略 抵御 虫 洞 攻击 和 陷 洞 攻击 。 


5.2.3 人 侵 检测 技术 


由 于 在 物 联 网 中 完全 依靠 密码 体制 不 能 抵御 所 有 攻击 ,故常 采用 入 侵 检 测 技术 作为 信 
息 安 全 的 第 二 道 防 线 。 入 侵 检 测 技术 是 一 种 检测 网 络 中 违反 安全 策略 行为 的 技术 ,能 及 时 
发 现 并 报告 系统 中 未 授权 或 异常 的 现象 。 

按照 参与 检测 的 节点 是 否 主动 发 送 消息 ,可 将 入 侵 检 测 技术 分 为 被 动 监听 检测 和 主动 
检测 。 被 动 监听 检测 主要 是 通过 监听 网 络 流量 的 方法 展开 ,而 主动 检测 是 指 检 测 节点 通过 
发 送 探 测 包 来 反馈 或 者 接收 其 他 节点 发 来 的 消息 .然后 通过 对 这 些 消息 进行 一 定 的 分 析 来 
检测 。 

根据 检测 节点 的 分 布 , 被 动 检测 可 分 为 密集 检测 和 稀 朴 检测 两 类 。 密 集 检测 通过 在 所 
有 节点 上 部 署 检测 算法 来 最 大 限度 发 现 攻击 ,检测 通常 部 署 在 网 络 层 。 

网 络 层 上 的 攻击 检测 方法 主要 有 看 门 狗 检测 方法 、 基 于 Agent 的 方法 .针对 特别 攻击 的 
方法 以 及 基于 活动 的 监听 方法 等 。 链 路 层 上 主要 通过 检测 到 达 RTS 请 求 的 速率 来 发 现 
攻击 。 

在 物理 层 上 主要 检测 阻塞 攻击 ,现存 的 有 效 方法 有 : 通过 检测 单个 节点 发 送 和 接收 成 
功率 来 判断 是 否 遭 受 攻击 ; 通过 分 析 信 号 强度 随时 间 的 分 布 来 发 现 阻塞 攻击 特有 的 模式 ; 
以 及 通过 周期 性 检查 节点 的 历史 载波 侦 听 时 间 来 检测 攻击 。 

稀 朴 检测 则 通过 选择 合适 的 关键 节点 进行 检测 ,在 满足 检测 需求 的 条 件 下 尽量 降低 检 
测 的 花费 。 

主动 检测 主要 有 4 种 方法 : 

(1) 路 径 诊断 的 方法 。 

其 诊断 过 程 是 源 节 点 向 故障 路 径 上 选 定 的 探测 节点 发 送 探测 包 ,每 个 收 到 探测 包 的 节 
点 都 向 源 节 点 发 送 回 复 , 若 某 节 点 没有 返回 包 ,说明 其 与 前 一 个 节点 间 的 子路 径 出 现 故障 ， 
需要 在 其 间 插 入 新 的 探测 节点 展开 新 一 轮 检测 。 

(2) 邻居 检测 的 方法 。 

单个 节点 通过 向 各 个 邻居 节点 从 对 应 的 不 同 物理 信道 发 送信 号 获得 反馈 来 发 现 不 合法 
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的 节点 ID; 也 可 以 在 链 路 层 CTS 包 中 加 入 一 些 预 置 要 求 ,如 发 送 延 迟 等 ,如 果 接 收 方 没有 采 
取 所 要 求 的 行为 则 被 认定 为 非法 节点 。 还 有 针对 特定 攻击 的 检测 ,基站 向 周围 节点 发 送 随 
机 性 的 组 播 ,然后 通过 消息 反馈 的 情况 检测 针对 组 播 协议 的 攻击 DOM。 

(3) 通过 向 多 个 路 径 发 送 ping 包 的 方式 以 发 现 路 径 上 的 关键 节点 ,从 而 部 署 攻 击 检测 
算法 。 

(4) 基于 主动 提供 信息 的 检测 。 网 络 中 部 分 节点 向 其 他 节点 定期 广播 邻居 节点 信息 ， 
其 他 节点 通过 分 析 累 积 一 定时 间 后 的 信息 发 现 重复 节点 。 

以 上 这 些 检 测 技术 在 网 络 中 实现 ,不 可 避免 的 问题 是 : 由 于 物 联网 节点 资源 受 限 , 且 是 
高 密度 宛 余 撒布 ,不 可 能 在 每 个 节点 上 运行 一 个 全 功能 的 入侵 检测 系统 (IDS) ,因此 ,如 何在 
传 感 网 中 合理 地 分 布 IDS 的 问题 有 待 于 进一步 研究 。 


5.3 无 线 传感器 网 络 安全 研究 重点 


无 线 传感器 网 络 技术 是 一 项 新 兴 的 前 沿 技术 ,国外 比 国内 研究 得 更 早 , 更 深入 。 纵 观 国 
外 近 几 年 对 无 线 传感器 网 络 安 全 领域 的 研究 ,可 将 其 分 为 几 大 类 ,如 表 5.4 所 示 。 


表 5.4 无 线 传感器 网 络 安全 项 目 分 类 


类 子 类 类 子 类 
加 密 技术 安全 路 由 行程 
完整 性 检测 技术 路 由 安全 攻击 

密码 技术 
身份 认证 技术 路 由 算法 
数字 签名 攻击 
预先 配置 密 钥 位 置 意识 安全 安全 路 由 协议 
仲裁 密 钥 位 置 确认 
密 钥 管理 
自动 加 强 的 自治 密 钥 集合 
数据 融合 安全 
使 用 配置 理论 的 密 钥 管理 认证 


5.3.1 无 线 传感器 网 络 安全 技术 


无 线 传感器 网 络 也 是 无 线 通信 网 络 的 一 种 ,有 着 基本 相同 的 密码 技术 。 密 码 技术 是 无 
线 传感器 网 络 安全 的 基础 ,也 是 所 有 网 络 安全 实现 的 前 提 。 涉 及 无 线 传感器 网 络 的 安全 技 
术 有 如 下 几 种 。 


1. 加 密 技术 


加 密 是 一 种 基本 的 安全 机 制 , 它 把 传感器 节点 间 的 通信 消息 转换 为 密 文 ,形成 加 密 密 
钥 ,这 些 密 文 只 有 知道 解密 密 钥 的 人 才能 识别 。 
加 密 密 钥 和 解密 密 钥 相 同 的 密码 算法 称 为 对 称 密 钥 密码 算法 ;而 加 密 密 钥 和 解密 密 钥 
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不 同 的 密码 算法 称 为 非 对 称 密 钥 密码 算法 。 对 称 密 钥 密码 系统 要 求 保密 通信 双方 必须 事先 
共享 一 个 密 钥 ,因而 也 叫 单 钥 ( 私 钥 ) 密 码 系统 。 这 种 算法 又 分 为 分 流 密 码 算法 和 分 组 密码 
算法 两 种 。 而 非 对 称 密 钥 密码 系统 中 ,每 个 用 户 拥有 两 种 密 钥 , 即 公开 密 钥 和 秘密 密 钥 。 公 
开 密 钥 对 所 有 人 公开 ,而 只 有 用 户 自己 知道 秘密 密 钥 。 


2. 完整 性 检测 技术 


完整 性 检测 技术 用 来 进行 消息 的 认证 ,是 为 了 检测 因 恶 意 攻击 者 窜改 而 引起 的 信息 错 
误 。 为 了 抵御 恶意 攻击 ,完整 性 检测 技术 加 入 了 秘密 信息 ,不 知道 秘密 信息 的 攻击 者 将 不 能 
产生 有 效 的 消息 完整 性 码 。 

消息 认证 码 是 一 种 典型 的 完整 性 检测 技术 。 

(1) 将 消息 通过 一 个 带 密 钥 的 杂凑 函数 来 产生 一 个 消息 完整 性 码 ,并 将 它 附 着 在 消息 

一 起 传送 给 接收 方 。 

(2) 接收 方 在 收 到 消息 后 可 以 重新 计算 消息 完整 性 码 , 并 将 其 与 接收 到 的 消息 完整 性 
码 进 行 比较 : 如 果 相等 ,接收 方 可 以 认为 消息 没有 被 审改 ;如 果 不 相等 ,接收 方 就 知道 消息 
在 传输 过 程 中 被 窜改 了 。 该 技术 实现 简单 ,易于 在 无 线 传感器 网 络 中 实现 。 


3. 身份 认证 技术 


身份 认证 技术 通过 检测 通信 双方 拥有 什么 或 者 知道 什么 来 确定 通信 双方 的 身份 是 否 合 
法 。 这 种 技术 是 通信 双方 中 的 一 方 通过 密码 技术 验证 另 一 方 是 否 知道 他 们 之 间 共 享 的 秘密 
密 钥 或 者 其 中 一 方 自 有 的 私有 密 钥 。 这 是 建立 在 运算 简单 的 对 称 密 钥 密码 算法 和 杂凑 函数 
基础 上 的 ,适合 所 有 无 线 网 络 通信 。 


4. 数字 签名 


数字 签名 是 用 于 提供 服务 不 可 否认 性 的 安全 机 制 。 数 字 签 名 大 多 基于 非 对 称 密 钥 密 码 
算法 ,用 户 利用 其 秘密 密 钥 将 一 个 消息 进行 签名 ,然后 将 消息 和 签名 一 起 传 给 验证 方 ,验证 
方 利用 签名 者 公开 的 密 钥 来 认证 签名 的 真 伪 。 


s.3.2 密 钥 确 立 和 管理 


密码 技术 是 网 络 安全 构架 十 分 重要 的 部 分 ,而 密 钥 是 密码 技术 的 核心 内 容 。 密 钥 的 确 
立 需 要 在 参与 实体 和 密 钥 计 算 之 间 建 立信 任 关系 ， re hi 
钥 技 术 来 实现 。 无 线 传感器 网 络 的 通信 不 能 依靠 一 个 固定 的 基础 组 织 或 者 一 个 中 心 管理 
来 实现 ,而 要 用 分 散 的 密 钥 管 理 技术 。 

密 钥 管 理 协议 分 为 预先 配置 密 钥 协议 、 仲 裁 密 钥 协 议和 自动 加 强 的 自治 密 钥 协议 。 预 
先 配 置 密 钥 协议 在 传感器 节点 中 预先 配置 密 钥 。 这 种 方法 不 灵活 ,特别 是 在 动态 无 线 传 感 
器 网 络 中 增加 或 移 除 节点 的 时 候 。 在 仲裁 密 钥 协议 中 , 密 钥 分 配 中 心 (KDC) 用 来 建立 和 保 
持 网 络 的 密 钥 , 它 完全 被 集中 于 一 个 节点 或 者 分 散在 一 组 信任 节点 中 。 自 动 加 强 的 自治 密 
钥 协 议 把 建立 的 密 钥 散 布 在 节点 组 中 。 
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1. 预先 配置 密 钥 


(1) 在 全 网 络 范围 内 预先 配置 密 钥 。 

无 线 传感器 网 络 所 有 节点 在 配置 前 都 要 装载 同样 的 密 钥 。 

(2) 明确 节点 的 预先 配置 密 钥 。 

在 这 种 方法 中 ,网 络 中 的 每 个 节点 需要 知道 与 其 通信 的 所 有 节点 的 ID 号 ,每 两 个 节点 
间 共 享 一 个 独立 的 密 钥 。 

(3) 预先 配置 节点 。 

在 网 络 范围 的 预先 配置 节点 密 钥 方法 中 ,任何 一 个 危险 节点 都 会 危及 整个 网 络 的 安全 。 
而 在 明确 节点 预先 配置 中 ,尽管 有 少数 危险 节点 互相 串 接 , 但 整个 网 络 不 会 受到 影响 。 预 先 
配置 节点 安全 方法 提供 组 节点 保护 来 对 抗 不 属于 该 组 的 其 他 危险 节点 的 威胁 。 


2. 仲裁 密 钥 协议 


仲裁 协议 包含 用 于 确立 密 钥 的 第 三 方 信任 部 分 。 根 据 密 钥 确立 的 类 型 ,协议 被 分 为 秘 
密 密 钥 和 公开 密 钥 。 标 准 的 秘密 密 钥 协议 发 展 成 密 钥 分 配 中 心 (KDC) 或 者 密 钥 转换 中 心 。 

成 对 密 钥 确立 协议 可 以 支持 小 组 节点 的 密 钥 建立 。 有 一 种 分 等 级 的 密 钥 确立 协议 叫做 
分 层 逻 辑 密 钥 (LKH)。 在 这 种 协议 中 ,一 个 第 三 信任 方 (TTP) 在 网 络 的 底层 用 一 组 密 钥 创 
建 一 个 分 层 逻 辑 密 钥 ,然后 加 密 密 钥 (KEK) 形 成 网 络 的 内 部 节点 。 


3. 自动 加 强 的 自治 密 钥 协议 


1) 成 对 的 不 对 称 密 钥 

该 种 协议 基于 公共 密 钥 密码 技术 。 每 个 节点 在 配置 之 前 ,在 其 内 部 嵌入 由 任务 权威 授 
予 的 公共 密 钥 认证 。 

2) 组 密 钥 协议 

在 无 线 传感器 网 络 节点 组 中 确立 一 个 普通 密 钥 ,而 不 依赖 于 第 三 信任 方 。 这 种 协议 也 
是 基于 公共 密 钥 密码 技术 的 ,包括 以 下 几 种 : 

(1) 简单 的 密 钥 分 配 中 心 。 支 持 使 用 复合 消息 的 小 组 节点 。 由 于 它 不 提供 迅速 的 保密 
措施 ,所 以 它 适 合 路 由 方面 的 应 用 。 

(2) Diffie-Hellman 组 协议 。 该 协议 确保 一 组 节点 中 的 每 个 节点 都 对 组 密 钥 的 值 做 出 
贡献 。 

(3) 特征 密 钥 。 此 协议 规定 只 有 满足 发 送 消息 要 求 特征 的 节点 才能 计算 共享 密 钥 , 从 
而 解密 给 定 的 消息 。 特 征 包括 位 置 和 传感器 能 力 等 区 别 特性 。 


4. 使 用 配置 理论 的 密 钥 管理 


由 于 资源 的 限制 ,无 线 传感器 网 络 中 的 密 钥 管 理 显 得 尤为 重要 。 使 用 配置 的 密 钥 管理 
方案 是 任意 密 钥 预 先 分 配方 案 的 一 种 改进 , 它 加 入 了 配置 理论 ,避免 了 不 必要 的 密 钥 分 配 。 
配置 理论 的 加 入 充分 改进 了 网 络 的 连通 性 ,存储器 的 实用 性 以 及 抵御 节点 捕获 的 能 力 , 与 前 
面 提 到 的 密 钥 管理 方案 相 比 更 适合 于 大 型 无 线 传感器 网 络 。 配 置 理论 假设 传感器 节点 在 配 
置 后 都 是 静态 的 。 配 置 点 是 节点 配置 时 的 位 置 ,但 它 并 不 是 节点 的 最 终 位 置 ,而 只 是 在 节点 
最 终 位 置 的 概率 密度 之 内 , 驻 点 才 是 传感器 节点 的 最 终 位 置 。 
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5.3.3 ”无线 传感器 网 络 的 路 由 安全 


在 无 线 传感器 网 络 中 提出 了 许多 路 由 协议 ,使 得 有 限 的 传感器 节点 和 网 络 特殊 应 用 的 
结合 达到 最 优化 ,但 是 这 些 协议 都 忽视 了 路 由 安全 。 由 于 缺少 必要 的 路 由 安全 措施 ,敌手 会 
使 用 具有 高 能 量 和 长 范围 通信 的 强力 膝 上 电脑 来 攻击 网 络 。 因 此 设计 安全 路 由 协议 对 保护 
路 由 和 无 线 传感器 网 络 安全 显得 非常 重要 。 

1. 无 线 传感器 网 络 路 由 协议 受到 的 攻击 

无 线 传感器 网 络 路 由 协议 有 多 种 ,它们 受到 的 攻击 种 类 也 不 同 。 了 解 这 些 攻 击 种 类 , 才 
能 在 协议 中 加 入 相应 的 安全 机 制 , 保 护 路 由 协议 的 安全 。 攻 击 种 类 如 表 5. 5 所 示 。 

表 5.5 攻击 无 线 传感器 网 络 路 由 协议 类 型 
协 议 相应 攻击 


Bogus Routing Information，Selective Forwarding, Sinkholes, 


党章 作 对 信 (TI7OS7 信 本 Sybil，Wormholes，HELLO Floods 
> Bogus Routing Information, Selective Forwarding, Sinkholes, 
定向 扩散 和 协议 的 多 路 径 变 量 Sybil, Wormholes, HELLO Floods 
地 理 路 由 (GPSR,GEAR) Bogus Routing Information, Selective Forwarding, Sybil 
最 小 成 本 推进 Bogus Routing Information, Selective Forwarding, Sinkholes, 


Wormholes, HELLO Floods 


基于 聚 类 的 协议 (LEACH,TEEN， Selective Forwarding, HELLO Floods 


PEGASIS) 
传闻 路 由 Bogus Routing Information, Selective Forwarding, Sinkholes, 
Sybil, Wormholes 
能 量 保存 的 拓扑 维护 (SPAN, GAE， 5 . 
CEC, AFECA) Bogus Routing Information, Sybil, HELLO Floods 
2. 攻击 对 策 


针对 以 上 的 攻击 ,提出 了 一 系列 的 反 措施 ,包括 链 路 层 加 密 和 认证 、 多 路 径路 由 行程 . 身 
份 确认 、 双 向 连接 确认 和 广播 认证 。 但 这 些 措施 只 有 在 路 由 协议 设计 完成 以 前 加 入 协议 中 ， 
对 攻击 的 抵御 才 有 作用 ,这 是 实现 路 由 安全 的 重要 前 提 。 

无 线 传感器 网 络 路 由 协议 设计 完成 以 后 ,就 不 可 能 在 其 中 加 入 安全 机 制 了 。 所 以 在 设 
计 路 由 协议 时 就 要 把 安全 因素 加 入 到 路 由 协议 中 去 ,这 是 保证 网 络 路 由 安全 唯一 的 有 限 
方法 。 


5.3.4 数据 融合 安全 
无 线 传感器 网 络 中 有 大 量 的 节点 ,会 产生 大 量 的 数据 。 如 何 把 这 些 数据 进行 分 类 ,集合 
出 在 网 络 中 传输 的 有 效 数 据 , 并 进行 数据 身份 认证 ,是 数据 融合 安全 所 要 解决 的 问题 。 
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1. 数据 集合 


数据 集合 通过 最 小 化 多 余数 据 的 传输 来 增加 带宽 使 用 和 能 量 利用 。 

现今 一 种 流行 的 安全 数据 集合 协议 (SRDA) 通 过 传输 微分 数据 代替 原始 的 感应 数据 来 
减少 传输 量 。SRDA 利用 配置 估算 且 不 实施 任何 在 线 密 钥 分 配 , 从 而 建立 传感器 节点 间 的 
安全 连通 。 它 把 数据 集合 和 安全 概念 融入 无 线 传感器 网 络 , 可 以 实施 对 目标 的 持续 监控 , 实 
现 传感器 与 基站 之 间 的 数据 漂流 。 


2. 数据 认证 


数据 认证 是 无 线 传感器 网 络 安全 的 基本 要 求 之 一 。 网 络 中 的 消息 在 传输 之 前 都 要 强制 
认证 ,否则 敌手 能 够 轻松 地 将 伪造 的 消息 包 注 入 网 络 ,从 而 耗 尽 传感器 能 量 ,使 整个 网 络 
瘫痪 。 

数据 认证 可 以 分 为 3 类 : 

(1) 单 点 传送 认证 (用 于 两 个 节点 间 数 据 包 的 认证 )。 

使 用 的 是 对 称 密 钥 协议 ,数据 包 中 包含 节点 间 共 享 的 密 钥 作为 双方 的 身份 认证 。 

(2) 全 局 广播 认证 (用 于 基站 与 网 络 中 所 有 节点 间 数 据 包 的 认证 )。 适 合 于 有 严格 资源 
限制 的 环境 。 

(3) 局 部 广播 认证 (支持 局 部 广播 消息 和 消极 参与 )。 局 部 广播 消息 是 由 时 间或 事件 驱 
动 的 。LEAP 中 包括 了 一 个 有 效 的 协议 用 于 局 部 广播 认证 。 

除了 以 上 几 个 安全 项 目 大 类 外 ,无 线 传感器 网 络 安 全 设计 还 包括 能 量 有 效 的 密 钥 管理 、 
分 层次 的 网 络 串 算法 和 网 络 的 分 布 式 合作 等 项 目 , 还 有 待 将 来 进一步 开发 探索 。 


5.4 基于 ZigBee 技术 的 无 线 传感器 网 络 的 安全 


ZigBee 是 一 种 短 距离 低速 率 的 无 线 通信 技术 ,是 当前 面向 无 线 传感器 网 络 的 技术 标 
准 。 其 名 字 来 源 于 蜂 群 使 用 的 赖 以 生存 和 发 展 的 通信 方式 。 虽 然 存 在 多 种 无 线 网 络 技术 与 
之 竞争 ,但 ZigBee 因 其 优越 特性 在 其 中 脱颖而出 ,其 主要 特性 有 低速 率 ` 近 距离 、 低 功 耗 、 低 
复杂 度 和 低 成 本 ,目前 适合 应 用 在 短 距离 无 线 网 络 通信 方面 。 

ZigBee 技术 已 经 广泛 应 用 于 自动 控制 、 传 感 和 远程 控制 等 领域 。 主 要 应 用 领域 包括 工 
业 控 制 、 消 费 性 电子 设备 、 汽 车 自动 化 、 农 业 自 动 化 和 医用 设备 控制 等 。 在 许多 应 用 中 ,安全 
性 在 传感器 网 络 中 有 很 高 的 要 求 ,因此 ,安全 问题 成 为 制约 无 线 传感器 网 络 发 展 的 重要 
因素 。 


5.4.1 ZigBee 技术 分 析 


ZigBee 技术 是 一 种 近 距 离 、 大 规模 、 自 组 织 、 低 复杂 度 、 低 功 耗 \ 低 速率 和 低 成 本 的 无 线 
组 网 技术 。 
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1. ZigBee 设备 分 类 


为 了 降低 系统 成 本 和 应 用 需要 ,ZigBee 网 络 中 定义 了 两 种 类 型 的 设备 : 一 种 是 全 功能 
设备 (Full Function Device,FFD) , 称 为 主 设备 , 它 承 担 了 网 络 协调 者 的 功能 ,可 与 网 络 中 任 
何 类 型 的 设备 通信 。 在 网 络 传输 过 程 中 ,如 果 启 用 安全 机 制 , 网 络 协调 者 又 可 成 为 信任 中 
心 , 参 与 密 钥 分 配 和 认证 服务 等 工作 ; 另 一 种 是 简化 功能 设备 (Reduced Function Device， 
RFD) , 称 为 从 设备 ,只 能 与 主 设备 通信 。 


2. ZigBee 的 网 络 结构 及 协议 栈 


ZigBee 主要 采用 了 3 种 组 网 方式 : 星 形 结构 (star) ,网 状 结构 (mesh) 和 簇 形 网 (cluster 
tree) ,如 图 5.2 所 示 。 


XB 


(a) 星 形 结构 (b) 网 状 结构 (0) 簇 形 结构 
@ FFD 设 备 〇 RFD 设 备 
图 52 ZigBee 组 网 拓扑 图 


在 星 形 结构 中 ,一 个 功能 强大 的 主 设备 位 于 网 络 的 中 心 , 作 为 网 络 协 调 者 ,其 他 主 设备 
或 从 设备 分 布 在 其 覆盖 范围 内 。 网 状 结构 是 由 主 设备 连接 在 一 起 形成 的 ,网 络 中 的 主 设备 
互 为 路 由 器 。 簇 形 结构 是 由 星 形 结构 和 网 状 结构 相 结合 形成 的 ,各 个 子 网 内 部 都 以 星 形 结 
构 连接 ,其 主 设备 又 以 对 等 的 方式 连接 在 一 起 。 数 据 流 首先 传 到 同一 个 子 网 内 的 主 设备 , 通 
过 网 关节 点 达到 更 高 层 的 子 网 ,随后 继续 上 传 ,最 后 到 达 汇 集中 心 设备 。 

ZigBee 技术 的 物理 层 和 数据 链 路 层 协 议 主要 采用 IEEE 802. 15. 4 标准 ,而 网 络 层 和 应 
用 层 由 ZigBee 联盟 负责 建立 。 物 理 层 提供 基本 的 无 线 通 信 ; 数 据 链 路 层 提供 设备 之 间 通 信 
的 可 靠 性 及 单 跳 通信 的 链接 ;网 络 层 负责 拓扑 结构 的 建立 和 维护 .命名 和 绑 定 服务 ,它们 协 
同 完 成 寻 址 、 路 由 及 安全 等 不 可 缺少 的 任务 ;应 用 层 包括 应 用 支持 子 层 、ZigBee 设备 对 象 
(ZigBee Device Object,ZDO) 和 应 用 ,ZDO 负责 整个 设备 的 管理 ,应 用 层 提供 对 ZDO 和 
ZigBee 应 用 的 服务 。 数 据 链 路 层 、 网 络 层 和 应 用 层 负 责 在 各 自 层 下 传输 安全 的 数据 ,而 且 应 
用 子 层 提供 安全 关系 的 建立 和 维护 等 服务 ,ZDO 管理 安全 策略 和 设备 的 安全 配置 ,以 及 
ZigBee 网 络 协议 栈 结构 。 


3. 安全 分 析 


ZigBee 技术 在 安全 方面 具体 表现 为 如 下 特点 。 
(1) 提供 了 刷新 功能 。 
刷新 检查 能 够 阻止 转发 的 攻击 。ZigBee 设备 保持 输入 和 输出 刷新 计数 器 , 当 有 一 个 新 
的 密 钥 建立 时 ,计数 器 就 重新 设置 。 每 秒 通信 一 次 的 设备 , 它 的 计数 器 值 不 能 超过 136 年 。 
(2) 提供 了 数据 包 完 整 性 检查 功能 。 
传输 过 程 中 ,这 种 功能 阻止 攻击 者 对 数据 进行 修改 。 完 整 性 选项 有 0、32、64 或 128 位 ， 
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在 数据 保护 和 数据 开销 之 间 进 行 折 中 选择 。 

(3) 提供 了 认证 功能 。 

认证 保证 了 数据 的 发 起 源 ,阻止 攻击 者 修改 一 个 设备 并 模仿 另 一 个 设备 。 认 证 可 应 用 
在 网 络 层 和 设备 层 , 网 络 层 认证 是 通过 使 用 一 个 公共 的 网 络 密 钥 阻止 外 部 的 攻击 ,内 存 开 销 
很 少 。 设备 层 认 证 是 在 两 个 设备 之 间 使 用 唯一 的 链接 密 钥 , 能 阻止 内 部 和 外 部 的 攻击 ,但 需 
要 很 高 的 内 存 开销 。 

(4) 提供 了 加 密 功 能 。 

阻止 窃听 者 侦 听 数据 。 它 使 用 128 位 AES 加 密 算 法 ,这 种 加 密 保 护 可 应 用 在 网 络 层 和 
设备 层 。 网 络 层 加 密 是 通过 使 用 一 个 公共 的 网 络 密 钥 阻止 外 部 的 攻击 ,内存 开 销 很 少 。 设 
备 层 加 密 是 在 两 个 设备 之 间 使 用 唯一 的 链接 密 钥 ,能 阻止 内 部 和 外 部 的 攻击 ,但 需要 很 高 的 
内 存 开销 。 

ZigBee 技术 在 数据 加 密 过 程 中 可 以 使 用 3 种 基本 密 钥 ,分 别 是 主 密 钥 .链接 密 钥 和 网 络 
密 钥 。 主 密 钥 是 两 个 设备 长 期 安全 通信 的 基础 ,也 可 以 作为 一 般 的 链接 密 钥 使 用 。 所 以 , 必 
须 维护 主 密 钥 的 保密 性 和 正确 性 。 链 接 密 钥 是 在 一 个 PAN 网 络 中 被 两 个 设备 共享 的 , 它 可 
以 通过 主 密 钥 建立 ,也 可 以 在 设备 制造 时 安装 ; 它 可 应 用 在 数据 链 路 层 、 网 络 层 和 应 用 层 。 
链接 密 钥 和 网 络 密 钥 不 断 地 进行 周期 性 的 更 新 。 当 两 个 设备 都 拥有 这 两 种 密 钥 时 ,采用 链 
接 密 钥 进行 通信 。 虽 然 存储 网 络 密 钥 的 开销 小 ,但 它 降 低 了 系统 的 安全 性 ,因为 网 络 密 钥 被 
多 个 设备 所 共享 ,所 以 它 不 能 阻止 内 部 的 攻击 。 


5.4.2 ZigBee 协议 栈 体 系 结构 安全 


ZigBee 协议 是 一 种 新 兴 的 无 线 传感器 网 络 技术 标准 , 它 是 在 传统 无 线 协议 无 法 适应 无 线 
传感器 网 络 低 成 本 、 低 能量 ,高 容错 性 等 要 求 的 情况 下 产生 的 。ZigBee 是 在 IEEE 802. 15. 4( 无 
线 个 人 区 域 网 ) 协 议 标准 的 基础 上 扩展 的 ,IEEE 802. 15. 4 标准 只 定义 了 PHY 层 和 数据 链 
路 层 的 MAC 子 层 。PHY 层 由 射频 收发 器 以 及 底层 的 控制 模块 构成 ,MAC 子 层 为 高 层 访 
问 物 理 信 道 提供 点 到 点 通信 的 服务 接口 。ZigBee 联盟 制定 网 络 层 和 应 用 会 聚 层 各 高 层 规 
范 。 安 全 体系 结构 如 图 5. 3 所 示 。 


Application(APL) Layer 


Application Framework ZigBee Device Object(ZDO) 


Application Support Sublayer(APS) 


Ls APS Security 本 Reflector 
Management Management ZDO 
Security Management 
Servi 
es Network(NWK) Layer Bone 
Ls NWK Security oe Network 
Management Management 


Medium Access Control(MAC) 
Physical(PHY) Layer 
2.4GHz Radio 868/915MHz Radio 


图 53 ZigBee 协议 栈 安全 体系 结构 
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ZigBee 协议 栈 由 物理 层 .数据 链 路 层 、 网 络 层 和 应 用 层 组 成 。 物 理 层 负责 基本 的 无 线 通 
信 , 由 调制 .传输 .数据 加 密 和 接收 构成 。 链 路 层 提供 设备 之 间 单 跳 通 信 、 可 靠 传输 和 通信 安 
全 。 网 络 层 主要 提供 通用 的 网 络 层 功能 (如 拓扑 结构 的 搭建 和 维护 、 寻 址 和 安全 路 由 )。 应 
用 层 包括 应 用 支持 子 层 .ZigBee 设备 对 象 和 各 种 应 用 对 象 。 

应 用 支持 子 层 提供 安全 和 映射 管理 服务 ,ZDO 负责 设备 管理 ,包括 安全 策略 和 安全 配 
置 的 管理 ,应 用 层 提供 对 ZDO 和 ZigBee 应 用 的 服务 。 


1. 数据 链 路 层 安全 


数据 链 路 层 通过 建立 有 效 的 机 制 保护 信息 安全 。 
MAC 层 有 4 种 类 型 的 帧 ,分 别 是 命令 帧 . 信 标 帧 .确认 帧 和 数据 帧 。 安 全 帧 格式 如 
图 5.4 所 示 。 


PHY MAC Auxiliary Encrypted MAC MIC 
Header | Header Header Payload 


图 54 数据 链 路 层 安全 帧 格式 


SYNC 


其 中 ,Auxiliary Header 是 携带 的 安全 信息 ,MIC 提供 数据 完整 性 检查 ,有 0、32、64 和 
128 位 可 供 选择 。 对 于 数据 帧 ,MAC 层 只 能 保证 单 跳 通信 安全 ,为 了 提供 多 跳 通信 的 安全 
保障 ,必须 依靠 上 层 提供 的 安全 服务 。 在 MAC 层 上 使 用 的 是 AES 加 密 算法 ,根据 上 层 提供 
的 密 钥 的 级 别 ,可 以 保障 不 同 水 平 的 安全 性 。 

IEEE 802. 15.4 标准 MAC 层 使 用 的 是 CCM 模式 ,CCM 是 一 种 通用 的 认证 和 加 密 模 
式 , 被 定义 使 用 在 类 似 于 AES 的 128 位 大 小 的 数据 块 上 , 它 由 CTR 模式 和 CBC-MAC 模式 
组 成 。CCM 主要 包括 认证 和 加 密 解密 ,认证 使 用 CBC-MAC 模式 ,而 加 解密 使 用 的 是 CTR 
模式 。 然 而 ZigBee 技术 对 数据 保护 采用 一 种 改进 的 模式 , 即 CMM * 模式 , 它 是 通过 执行 
AES-128 加 密 算法 来 对 数据 保密 。 


2. 网 络 层 安全 


网 络 层 对 帧 采取 的 保护 机 制 同 上 面 一 样 ,为 了 保证 帧 能 正确 传输 , 帧 格式 中 也 加 入 了 
Anxiliary Header 和 MIC。 网 络 层 的 安全 帧 格式 如 图 5. 5 所 示 。 


PHY MAC NWK 
Header | Header | Header 


图 55 网 络 层 安全 帧 格式 
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Encrypted MAC 
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NWK 层 主要 思想 是 首先 广播 路 由 信息 ,接着 处 理 接收 到 的 路 由 信息 ,例如 判断 数据 帧 
来 源 , 然 后 根据 数据 帧 中 的 目的 地 址 采取 相应 机 制 将 数据 帧 传送 出 去 。 在 传送 的 过 程 中 一 
般 是 利用 链接 密 钥 对 数据 进行 加 密 处 理 ,如 果 链 接 密 钥 不 可 用 ,网 络 层 将 利用 网 络 密 钥 进行 
保护 ,由 于 网 络 密 钥 在 多 个 设备 中 使 用 ,可 能 带 来 内 部 攻击 ,但 是 它 的 存储 开销 代价 更 小 。 
NWK 层 对 安全 管理 有 责任 ,但 其 上 一 层 控制 着 安全 管理 。 


3. 应 用 层 安 全 


APL 层 安全 是 通过 APS 子 层 提 供 , 根 据 不 同 的 应 用 需求 采用 不 同 的 密 钥 ,主要 使 用 的 
是 链接 密 钥 和 网 络 密 钥 。 应 用 层 的 安全 帧 格式 如 图 5. 6 所 示 。 
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MAC 
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图 56 应 用 层 安全 帧 格式 


APS 提供 的 安全 服务 有 密 钥 建 立 、 密 钥 传 输 和 设备 服务 管理 。 密 钥 建 立 是 在 两 个 设备 
间 进 行 ,包括 4 个 步骤 : 交换 暂时 数据 ,生成 共享 密 钥 ,获得 链接 密 钥 ,确认 链接 密 钥 。 密 钥 
传输 服务 是 在 设备 间 安 全 传输 密 钥 。 设 备 服务 管理 包括 更 新 设备 和 移 除 设备 ,更 新 设备 服 
务 提供 一 种 安全 的 方式 通知 其 他 设备 有 第 三 方 设备 需要 更 新 , 移 除 设备 则 是 通知 有 设备 不 
满足 安全 需要 ,要 被 删除 。 


5.4.3 ”安全 密 钥 


ZigBee 采用 3 种 基本 密 钥 ,分 别 是 网 络 密 钥 、 链 接 密 钥 和 主 密 钥 ,它们 在 数据 加 密 过 程 
中 使 用 。 其 中 网 络 密 钥 可 以 在 数据 链 路 层 、 网 络 层 和 应 用 层 中 应 用 , 主 密 钥 和 链接 密 钥 则 使 
用 在 应 用 层 及 其 子 层 。 

网 络 密 钥 可 以 在 设备 制造 时 安装 ,也 可 以 在 密 钥 传输 中 得 到 , 它 可 应 用 于 多 层 。 主 密 钥 
可 以 在 信任 中 心 设置 或 者 在 制造 时 安装 ,还 可 以 是 基于 用 户 访问 的 数据 ,例如 ,个 人 识别 码 
CPIN)、 密 码 和 口令 等 。 为 了 保证 传输 过 程 中 主 密 钥 不 遭 到 窃听 ,需要 确保 主 密 钥 的 保密 性 
和 正确 性 。 链 接 密 钥 是 在 两 个 端 设 备 通信 时 共享 ,可 以 由 主 密 钥 建立 ,因为 主 密 钥 是 两 个 设 
备 通信 的 基础 。 它 也 可 以 在 设备 制造 时 安装 。 

链接 密 钥 和 网 络 密 钥 要 不 断 进行 更 新 。 当 两 个 设备 同时 拥有 这 两 种 密 钥 时 ,采用 链接 
密 钥 来 通信 。 尽 管 存储 网 络 密 钥 开 销 小 ,但 是 降低 了 系统 安全 。 


5.4.4 ZigBee 网 络 结构 


ZigBee 规范 定义 了 3 种 类 型 的 设备 ,分别 是 ZigBee 协调 器 ZigBee 路 由 器 和 ZigBee 终 
端 设备 。 

ZigBee 协调 器 负责 启动 和 配置 网 络 ,在 一 个 ZigBee 网 络 中 只 允许 一 个 ZigBee 协调 器 。 
ZigBee 路 由 器 是 一 种 支持 关联 的 设备 ,一 个 网 络 可 以 有 多 个 路 由 器 , 它 能 够 将 消息 转发 到 其 
他 设备 ,但 是 在 星 形 网 络 中 不 支持 ZigBee 路 由 器 。ZigBee 终端 设备 可 以 执行 相关 的 功能 ， 
并 使 用 网 络 到 达 其 他 需要 与 其 通信 的 设备 。ZigBee 网 络 结构 如 图 5.7 所 示 。 


( 〇 zieBee 协 调 器 设备 CD ZigBee 路 由 设备 
〇 ZigBee 终 端 设 备 网 状 链 ”一 一 星 形 链 


图 57 ZigBee 网 络 结构 
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5.4.5 信任 中 心 


所 谓 信任 中 心 是 在 网 络 中 分 配 安全 密 钥 的 一 种 令 人 信任 的 设备 , 它 允 许 设备 加 入 网 络 ， 
并 分 配 密 钥 ,因而 确保 设备 之 间 端 到 端的 安全 性 。 在 采用 安全 机 制 的 网 络 中 ,网 络 协调 者 可 
成 为 信任 中 心 。 信 任 中 心 提供 3 种 功能 : 

(1) 信任 管理 。 任 务 是 负责 对 加 入 网 络 的 设备 验证 。 

(2) 网 络 管理 。 任 务 是 负责 获取 和 分 配 网 络 密 钥 给 设备 。 

(3) 配置 管理 。 任 务 是 确保 端 到 端 设备 的 安全 。 

信任 中 心 有 两 种 模式 : 住宅 模式 和 商用 模式 。 

对 于 住宅 模式 ,信任 中 心 要 维护 一 张 关 于 网 络 中 所 有 设备 和 密 钥 的 清单 ,并 采取 措施 对 
网 络 访问 和 密 钥 进行 控制 管理 。 同 样 对 于 商用 模式 ,信任 中 心 也 要 维护 一 张 网 络 中 设备 和 
密 钥 的 清单 ,并 实施 策略 对 网 络 密 钥 的 更 新 和 网 络 访问 控制 进行 管理 ,但 它 还 要 在 每 个 设备 
中 维护 一 个 计数 器 ,此 计数 器 会 随 着 密 钥 的 产生 不 断 变化 ,目的 是 保证 顺序 更 新 。 

住宅 模式 网 络 中 密 钥 分 布 图 如 图 5. 8 所 示 。 


AN KN: Network Key 


( 〇 ZigBee 协调 器 设备 
O 〇 ZigBee 终端 设备 
图 58 住宅 模式 密 钥 分 布 图 


人 _) zigBee 路 由 设备 


住宅 模式 鉴 权 过 程 如 图 5.9 所 示 。 
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Juined(aulhenticated) 


59 住宅 模式 鉴 权 过 程 


商用 模式 需要 维护 密 钥 并 允许 更 新 ,具有 良好 的 扩展 性 ,但 其 要 消耗 相当 多 的 存储 空 
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间 , 相 比 之 下 住宅 模式 消耗 资源 少 且 不 需要 设置 密 钥 ,因而 不 要 更 新 ,但 其 网 络 的 扩展 性 不 
好 。 以 下 针对 住宅 和 商业 模式 网 络 的 特点 ,给 出 密 钥 分 布 情况 和 鉴 权 过 程 。 

对 于 商业 模式 ,网 络 中 密 钥 分 布 和 鉴 权 过 程 相对 来 说 比较 复杂 。 为 了 满足 安全 性 需要 ， 
ZigBee 标准 提供 不 同 的 方法 来 确保 安全 ,主要 有 以 下 4 方面 : 


1. 加 密 技术 


ZigBee 使 用 AES-128 加 密 算法 。 网 络 层 加 密 是 通过 共享 的 网 络 密 钥 来 完成 的 , 它 可 以 
阻止 来 自 外 部 的 攻击 。 而 设备 层 是 通过 唯一 链接 密 钥 在 两 端 设 备 间 完成 加 密 , 它 可 以 阻止 
内 外 部 的 攻击 。 但 是 加 密 技 术 的 有 无 不 会 影响 帧 序 更 新 、 完 整 性 和 鉴 权 。 


2. 鉴 权 技术 


鉴 权 可 以 保证 信息 的 原始 性 ,使 得 信息 不 被 第 三 方 攻击 。 鉴 权 有 网 络 层 和 设备 层 两 种 。 
网 络 层 鉴 权 可 以 阻止 外 部 攻击 ,但 增加 了 内 存 开销 , 它 通过 共享 网 络 密 钥 完成 。 设 备 层 鉴 权 
通过 设备 间 唯 一 链接 密 钥 完成 , 它 可 以 阻止 内 外 部 攻击 ,但 内 存 开销 高 。 


3. 完整 性 保护 


对 信息 的 完整 性 保护 提供 4 种 可 供 选 择 ,分 别 是 0、32、64 和 128 位 ,其 中 默认 采用 
64 位 。 


4. 帧 序 更 新 
通过 设置 计数 器 来 保证 数据 更 新 ,通过 使 用 一 个 有 序 编号 来 避免 帧 重 发 攻击 。 在 接收 
到 一 个 数据 帧 后 ,将 新 的 编号 和 最 后 一 个 编号 比较 ,如 果 新 的 编号 比 最 后 一 个 编号 要 新 , 则 
校 验 通过 ,编号 更 新 为 最 新 的 ;反之 , 校 验 失败 。 这 样 可 以 保证 收 到 的 数据 是 最 新 的 ,但 不 提 
供 严格 的 与 上 一 帧 数据 之 间 的 时 间 间 隔 信息 。 
ZigBee 标准 定义 了 8 种 安全 级 别 , 具 体 如 表 5. 6 所 示 。 
表 5.6 ZigBee 安全 级 别 


安全 级 别 安全 属性 数据 加 密 帧 完整 性 完整 性 代码 
(security level) (security attribute) | (data encryption) (frame integrity) (integrity code)/b 
0 无 无 无 0 
t MIC-32 无 有 32 
MIC-64 无 有 64 
3 MIC-128 无 有 128 
4 ENC 有 无 0 
5 ENC+ MIC-32 有 有 32 
6 ENC+ MIC-64 有 有 64 
时 ENC 十 MIC-128 有 有 128 
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5.4.6 存在 问题 及 未 来 展望 


ZigBee 用 了 多 种 措施 来 保证 传输 安全 ,采用 AES-128 加 密 算 法 数据 完整 性 检查 和 鉴 
权 功 能 。 这 些 措施 在 某 种 程度 上 对 安全 有 一 定 保障 ,但 是 也 存在 一 些 问题 。 虽 然 有 文献 认 
为 AES-128 加 密 算法 对 大 部 分 商业 应 用 来 说 是 足够 安全 的 ,而 且 NIST 也 预计 AES-128 加 
密 至 少 用 到 2036 年 是 安全 的 ,但 是 单一 的 对 称 加 密 算法 在 数据 加 密 和 密 钥 交换 中 可 能 带 来 
安全 隐患 ,研究 非 对 称 加 密 在 密 钥 分 配 中 的 应 用 具有 前 景 。 有 学 者 建议 将 椭圆 曲线 加 密 方 
法 作为 公 钥 非 对 称 计划 在 ZigBee 技术 中 应 用 。 

在 ZigBee 组 网 方面 ,基于 ZigBee 技术 组 成 的 网 状 网 只 适合 数据 传输 量 较 小 的 应 用 , 例 
如 工业 控制 领域 ,而 不 适合 数据 传输 量 较 多 的 应 用 ,因此 需 进 一 步 加 强 ZigBee 组 网 的 研究 ， 
使 之 应 用 领域 更 为 广泛 。 

对 于 无 线 传 感 网 络 中 的 数据 安全 交换 方面 ,ZigBee 联盟 只 是 在 理论 上 对 网 络 层 安全 协 
议 进行 描述 ,并 没有 对 不 同 应 用 应 采取 的 具体 安全 级 别 有 上 有 具体 的 研究 ,因此 加 强 针 对 不 同 应 
用 的 具体 安全 措施 还 有 待 进一步 发 展 ,同时 对 数据 完整 性 和 认证 技术 研究 以 及 根据 不 同 的 
应 用 情况 进行 安全 属性 的 灵活 配置 研究 也 很 重要 。 

由 于 IPv6 拥有 巨大 的 地 址 空间 ,能 为 每 一 个 ZigZee 节点 分 配 一 个 全 球 唯一 的 网 络 地 
址 ,同时 还 能 提供 很 好 的 QoS 和 安全 的 通信 保障 ,因此 ,IPv6 和 ZigBee 结合 是 未 来 发 展 的 
一 个 亮点 ,目前 国内 相应 的 产品 也 已 经 问世 。 总 之 ,为 了 使 ZigBee 技术 有 更 加 广阔 的 应 用 
空间 ,ZigBee 技术 的 安全 技术 ,如 密 钥 分 配 协议 的 需求 与 性 能 指标 、 密 钥 管理 的 方案 等 ,还 需 
进一步 深入 研究 。 

ZigBee 是 一 种 新 兴 的 无 线 网 络 通信 技术 , 它 因 优越 的 特性 在 众多 技术 中 脱颖而出 ,被 业 
界 认为 是 最 适合 无 线 传 感 网 络 的 新 技术 。 在 安全 方面 ,ZigBee 技术 对 协议 栈 各 层 加 强 安 全 
保护 ,采用 AES 加 密 算法 对 数据 加 密 , 同 时 提供 数据 完整 性 检查 和 鉴 权 措施 ,还 建立 信任 中 
心机 制 对 安全 密 钥 进 行 管理 ,这 些 安全 措施 的 采用 使 无 线 网 络 通信 和 具有 良好 的 安全 保护 机 
制 。 通 过 对 ZigBee 技术 的 安全 分 析 , 对 ZigBee 安全 的 优势 和 不 足 有 一 定 了 解 , 但 是 随 着 许 
多 应 用 对 安全 需求 的 提升 ,进一步 加 强 ZigBee 的 安全 研究 是 必要 的 。 


习题 五 


. 无 线 传 感 器 网 络 与 安全 相关 的 特点 有 哪些 ? 

.简单 分 析 无 线 传感器 网 络 的 安全 威胁 。 

. 无 线 传感器 网 络 的 攻击 形式 有 哪 几 种 ? 

. 绘图 描述 传感器 网 络 安全 体系 结构 。 

.如何 采 用 安全 路 由 来 增加 网 络 的 安全 性 ? 有 哪些 常用 的 方法 ? 

. 简 述 涉及 无 线 传感器 网 络 的 4 种 安全 技术 。 

. 什么 是 无 线 传感器 网 络 中 的 数据 融合 安全 和 数据 认证 ? 

. 简要 说 明 ZigBee 技术 在 安全 方面 的 具体 特点 。 

. 什么 是 ZigBee 信任 中 心 ? 它 能 提供 哪 几 种 功能 ? 

10. 为 了 满足 安全 性 需要 ,ZigBee 标准 使 用 哪 几 种 方法 来 确保 安全 ? 


ci oo 站 四 轴 上 
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第 6 童 无 线 通 信 网 络 安全 


6.1 物 联网 信息 传输 


物 联 网 信息 传输 安全 主要 涉及 物 联网 网 络 构建 层 安全 ,而 物 联网 网 络 构建 层 主要 实现 
信息 的 传送 和 通信 , 它 包 括 接 人 层 和 核心 层 。 网 络 层 既 可 依托 公众 电信 网 和 互联 网 ,也 可 以 
依托 行业 专业 通信 和 网络 ,还 可 同时 依托 公众 网 和 专用 网 ,如 接 入 层 依托 公众 网 ,核心 层 则 依 
托 专 用 网 ,或 接 人 层 依托 专用 网 ,核心 层 依托 公众 网 。 物 联网 网 络 层 的 安全 主要 分 为 两 类 : 

(1) 来 自 物 联网 本 身 (主要 包括 网 络 的 开放 性 架构 .系统 的 接 人 和 互 连 方式 以 及 各 类 功 
能 繁多 的 网 络 设备 和 终端 设备 的 能 力 等 ) 安 全 隐患 。 

(2) 源 于 构建 和 实现 物 联网 网 络 构 建 层 功能 的 相关 技术 (如 云 计 算 、 网 络 存储 和 异 构 网 
络 技术 等 ) 的 安全 弱点 和 协议 缺陷 。 

其 中 ,目前 所 涉及 的 网 络 包括 无 线 通信 网 络 WLAN、WPAN ,移动 通信 和 网络 和 下 一 代 网 
络 等 。 网 络 层 主要 存在 的 问题 是 业务 流量 模型 .空中 接口 和 网 络 架 构 安全 问题 。 以 下 主要 
阐述 无 线 网 络 的 连接 方式 和 出 现 的 各 种 安全 措施 。 


6.1.1 无 线 和 有 线 的 区 别 


在 有 线 网 络 中 ,网 络 的 媒介 是 私有 的 ,你 不 需要 当心 有 谁 连接 到 网 络 上 ,因为 在 设想 中 
未 经 过 授权 的 使 用 者 是 不 能 够 得 到 能 够 连接 到 网 络 上 的 插座 的 。 你 也 不 用 确定 信息 是 否 是 
机 密 的 ,因为 信息 是 在 私有 的 电缆 中 传送 的 ,未 经 过 授权 的 使 用 者 是 不 可 能 轻易 接近 的 。 

在 无 线 网 络 中 ,网 络 的 媒介 是 公有 的 ,无 论 是 谁 , 只 要 有 适当 的 设备 ,在 接收 区 域内 就 能 
够 连接 到 网 络 上 。 网 络 的 信息 也 必须 被 做 成 机 密 的 ,因为 未 经 过 授权 的 使 用 者 在 接收 的 物 
理 区 域内 也 是 可 以 得 到 信息 的 。 

所 谓 无 线 网 络 , 既 包括 允许 用 户 建立 远 距 离 无 线 连接 的 全 球 语音 和 数据 网 络 ,也 包括 为 
近 距 离 无 线 连接 进行 优化 的 红外 线 技术 及 射频 技术 。 如 今 无 线 网 络 技术 已 经 广泛 应 用 到 多 
个 领域 ,然而 ,无 线 网 络 的 安全 性 也 是 最 令 人 担忧 的 ,经 常 成 为 人 侵 者 的 攻击 目标 。 如 图 6. 1 
所 示 即 为 未 经 过 授权 的 使 用 者 从 无 线 网 络 中 非法 收取 信息 。 


6.1.2 安全 连接 的 组 成 
无 线 网 络 的 安全 连接 由 以 下 3 部 分 组 成 。 
1. 鉴 权 
在 数据 信息 被 允许 传送 以 前 ,无 线 网 络 的 节点 必须 被 识别 且 ( 依 靠 鉴 权 的 方法 ) 必 须 提 
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监听 /破解 机 
图 61 未 经 过 授权 的 使 用 者 非法 收取 信息 


交 能 够 被 认为 有 效 的 信任 书 。 
2. 加 密 


在 发 送 无 线 网 络 的 数据 包 以 前 ,无 线 网 络 的 节点 必须 对 数据 进行 加 密 以 确保 数据 的 机 
密 性 。 


3. 数据 的 完整 性 


在 发 送 数据 包 以 前 ,无 线 网 络 的 节点 必须 确保 数据 包 中 包含 有 用 的 信息 ,这 样 数据 的 接 
收 者 才能 保证 数据 在 传送 过 程 中 没有 被 改动 过 。 


6.1.3 设备 局 限 性 


WLAN 技术 出 现 之 后 ,“ 安 全 ”就 成 为 始终 伴随 在 “无 线 ” 这 个 词 身边 的 影子 ,针对 无 线 
网 络 技术 中 涉及 的 安全 认证 加 密 协议 的 攻击 与 破解 就 层出不穷 。 

现在 ,互联 网 上 可 能 有 数 以 百 计 ,甚至 以 千 计 的 文章 介绍 关于 怎么 攻击 与 破解 WLAN 
密 钥 的 文章 。 对 于 104 位 WEP 仅 需 捕获 40 000 个 数据 包 , 破 解 WEP 的 成 功率 就 可 达 
50% ;而 车 是 有 85 000 个 数据 包 ,成 功率 就 可 达到 95%。 就 算是 256b 的 WEP 加 密 也 只 需 
要 30 万 个 数据 包 , 体 现 了 设备 和 安全 算法 的 局 限 性 。 


6.2 无 线 网 络 的 结构 


无 线 局 域 网 (Wireless Local Area Network,WLAN) 具 有 可 移动 性 .安装 简单 .高 灵活 
性 和 扩展 能 力 ,作为 对 传统 有 线 网 络 的 延伸 ,在 许多 特殊 环境 中 得 到 了 广泛 的 应 用 。 随 着 无 
线 数据 网 络 解 决 方案 的 不 断 推出 ,“ 不 论 您 在 任何 时 间 \ 任 何 地 点 都 可 以 轻松 上 网 ”这 一 目标 
被 轻松 实现 了 。 无 线 网 络 的 应 用 扩展 了 用 户 的 自由 度 , 还 具有 安装 时 间 短 ,增加 用 户 或 更 改 
网 络 结构 方便 灵活、 经 济 , 可 以 提供 无 线 覆 盖 范 围 内 的 全 功能 漫游 服务 等 优势 。 然 而 ,无线 


128 


第 6 章 无 线 通信 网 络 安 全 


网 络 技术 为 人 们 带 来 极 大 方便 的 同时 ,安全 问题 已 经 成 为 阻碍 无 线 网 络 技术 应 用 普及 的 一 
个 主要 障碍 。 

由 于 无 线 局 域 网 采用 公共 的 电磁 波 作为 载体 ,任何 人 都 有 条 件 窃 听 或 干扰 信息 ,因此 对 
越权 存 取 和 窃听 的 行为 也 更 不 容易 防备 。 在 2001 年 拉 斯 维 加 斯 的 黑客 会 议 上 ,安全 专家 就 
指出 ,无 线 网 络 将 成 为 黑客 攻击 的 另 一 块 热 土 。 一 般 黑客 的 工具 盒 就 包括 一 个 带 有 无 线 网 
卡 的 微机 和 一 片 无 线 网 络 探测 卡 软件 。 因 此 ,我 们 在 一 开始 应 用 无 线 网 络 时 ,就 应 该 充分 考 
虑 其 安全 性 。 

无 线 局 域 网 由 无 线 网 卡 、 无 线 接 和 人 点 (AP) .计算 机 和 有 关 设 备 组 成 ,采用 单元 结构 ,将 
整个 系统 分 成 多 个 单元 ,每 个 单元 称 为 一 个 基本 服务 组 (BSS) ,BSS 的 组 成 有 以 下 3 种 方式 : 
无 中 心 的 分 布 对 等 方式 有 中 心 的 集中 控制 方式 以 及 这 两 种 方式 的 混合 方式 。 在 分 布 对 等 
方式 下 ,无 线 网 络 中 的 任意 两 站 之 间 可 以 直接 通信 ,无 须 设置 中 心 转 接 站 。 这 时 ,MAC 控制 
功能 由 各 站 分 布 管理 。 在 集中 控制 方式 情况 下 ,无 线 网 络 中 设置 一 个 中 心 控制 站 ,主要 完成 
MAC 控制 以 及 信道 的 分 配 等 功能 。 网 内 的 其 他 各 站 在 该 中 心 的 协调 下 相互 通信 。 第 三 种 
方式 是 前 两 种 方式 的 组 合 , 即 分 布 式 与 集中 式 的 混合 方式 。 在 这 种 方式 下 ,网 络 中 的 任意 两 
站 均 可 以 直接 通信 ,而 中 心 控制 站 完成 部 分 无 线 信道 资源 的 控制 。 


6.3 无 线 网 络 的 安全 隐患 


无 线 通信 网 络 之 所 以 得 到 广泛 应 用 ,是 因为 无 线 网 络 的 建设 不 像 有 线 网 络 那样 受 地 理 
环境 的 限制 ,无 线 通信 用 户 也 不 像 有 线 通信 用 户 那 样 受 通信 电缆 的 限制 ,而 是 可 以 在 移动 中 
通信 。 无 线 通 信 网 络 的 这 些 优 势 都 来 自 它们 所 采用 的 无 线 通信 信道 ,而 无 线 信道 是 一 个 开 
放 性 信道 , 它 在 赋予 无 线 用 户 通 信 自 由 的 同时 ,也 给 无 线 通信 网 络 带 来 一 些 不 安全 因素 ,如 
通信 内 容 容易 被 窃听 、 通 信和 内容 可 以 被 更 改 和 通信 双方 身份 可 能 被 假冒 等 。 当 然 , 无 线 通信 
网 络 也 存在 着 有 线 通信 网 络 所 具有 的 不 安全 因素 。 

无 线 通信 网 络 中 的 不 安全 因素 主要 有 以 下 几 个 方面 。 


1. 无 线 窃听 


在 无 线 通 信和 网 络 中 ,所 有 网 络 通信 内 容 ( 如 移动 用 户 的 通话 信息 、 身 份 信息 、 位 置信 息 、 
数据 信息 以 及 移动 站 与 网 络 控制 中 心 之 间 的 信 令 信息 等 ) 都 是 通过 无 线 信道 传送 的 。 而 无 
线 信道 是 一 个 开放 性 信道 ,任何 具有 适当 的 无 线 设 备 的 人 均 可 以 通过 窃听 无 线 信 道 而 获得 
上 述 信息 。 虽 然 有 线 通 信 网 络 也 可 能 会 遭 到 搭 线 窃听 ,但 这 种 搭 线 窃 听 要 求 窍 听 者 能 接触 
到 被 窃听 的 通信 电缆 ,而 且 需 要 对 通信 电缆 进行 专门 处 理 , 这 样 就 很 容易 被 发 现 。 而 无 线 窃 
听 相 对 来 说 比较 容易 ,只 需要 适当 的 无 线 接收 设备 即 可 ,而 且 很 难 被 发 现 。 

对 于 无 线 局 域 网 络 和 无 线 个 人 区 域 网 络 来 说 ,它们 的 通信 内 容 更 容易 被 窃听 ,因为 它们 
都 工作 在 全 球 统一 公开 的 工业 、 科 学 和 医疗 频带 (如 2.5GHz 和 5GHz 的 ISM 频带 ) ,任何 个 
人 和 组 织 都 可 以 利用 这 个 频带 进行 通信 。 而 且 . 很 多 无 线 局 域 网 和 无 线 个 人 区 域 网 络 采 用 
群 通信 方式 来 相互 通信 , 即 每 个 移动 站 发 送 的 通信 信息 其 他 移动 站 都 可 以 接收 ,这 些 使 得 网 
络 外 部 人 员 也 可 以 接收 到 网 络 内 部 的 通信 和 内容。 

无 线 窃听 可 以 导致 信息 (如 通话 信息 、 身 份 信息 、 位 置信 息 、 数 据 信息 以 及 移动 站 与 网 络 
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控制 中 心 之 间 的 信 令 信息 等 ) 泄 露 。 移 动用 户 的 身份 信息 和 位 置信 息 的 泄露 可 以 导致 移动 
用 户 被 无 线 跟踪 。 无 线 窃听 除了 可 以 导致 信息 泄露 外 ,还 可 以 导致 其 他 一 些 攻 击 , 如 传输 流 
分 析 , 即 攻击 者 可 能 并 不 知道 真正 的 消息 ,但 他 知道 这 个 消息 确实 存在 ,并 知道 这 个 消息 的 
发 送 方 和 接收 方 地 址 ,从 而 可 以 根据 消息 传输 流 的 这 些 信息 分 析 通 信 目 的 ,并 可 以 猜测 通信 
内 容 。 


2. 假冒 攻击 


在 无 线 通信 网 络 中 ,移动 站 (包括 移动 用 户 和 移动 终端 ) 与 网 络 控制 中 心 以 及 其 他 移动 
站 之 间 不 存在 任何 固定 的 物理 连接 (如 网 络 电缆 ) ,移动 站 必须 通过 无 线 信道 传送 其 身份 信 
息 , 以 便于 网 络 控制 中 心 以 及 其 他 移动 站 能 够 正确 鉴别 它 的 身份 。 由 于 无 线 信道 传送 的 任 
何 信息 都 可 能 被 窃听 , 当 攻 击 者 截获 到 一 个 合法 用 户 的 身份 信息 时 ,他 就 可 以 利用 这 个 身份 
信息 来 假冒 该 合法 用 户 的 身份 人 网 ,这 就 是 所 谓 的 身份 假冒 攻击 。 

在 不 同 的 无 线 通信 网络 中 ,身份 假冒 攻击 的 目的 有 所 不 同 。 例 如 ,在 移动 通信 和 网络 中 ， 
其 工作 频带 并 不 是 免费 使 用 的 ,移动 用 户 必须 付费 才能 进行 通话 。 这 时 ,用 户 需 要 通过 无 线 
信道 传送 其 身份 信息 以 便于 网 络 端 能 正确 鉴别 用 户 的 身份 。 然 而 ,攻击 者 可 以 截获 到 这 些 
身份 信息 并 利用 截获 的 身份 信息 去 假冒 合法 用 户 使 用 通信 服务 ,从 而 逃避 付费 。 

在 无 线 局 域 网 络 和 无 线 个 人 区 域 网 络 中 ,工作 频带 是 免费 的 ,但 这 些 网 络 中 的 网 络 资 源 
和 通信 信息 则 不 是 公开 的 。 要 访问 这 些 信息 ,移动 站 必须 证 明 它 是 一 个 合法 用 户 。 移 动 站 
的 身份 证 明 信 息 也 是 通过 网 络 信道 传送 到 网 络 控制 中 心 或 其 他 移动 站 的 ,因而 非法 移动 站 
也 可 能 窃听 到 合法 移动 站 的 身份 信息 ,从 而 利用 截获 的 身份 信息 假冒 合法 移动 站 访问 网 络 

另外 ,主动 攻击 者 还 可 以 假冒 网 络 控制 中 心 。 如 在 移动 通信 网 络 中 ,主动 攻击 者 可 能 假 
冒 网 络 端 基地 站 来 欺骗 移动 用 户 ,以 此 手段 获得 移动 用 户 的 身份 信息 ,从 而 假冒 该 移动 用 户 
身份 。 


3. 信息 算 改 


所 谓 信息 自 改 是 指 主动 攻击 者 将 窃听 到 的 信息 进行 修改 (如 删除 或 替代 部 分 或 全 部 信 
息 ) 之 后 再 将 信息 传 给 原本 的 接收 者 。 这 种 攻击 的 目的 有 两 种 : 

(1) 攻击 者 恶意 破坏 合法 用 户 的 通信 和 内容, 阻止 合法 用 户 建立 通信 连接 。 

(2) 攻击 者 将 修改 的 消息 传 给 接收 者 ,企图 欺骗 接收 者 相信 该 修改 的 消息 是 由 一 个 合 
法 用 户 传 给 他 的 。 

信息 自 改 攻击 在 一 些 “ 存 储 一 转发 "型 有 线 通信 和 网络 (如 因特网 等 ) 中 是 很 常见 的 ,而 一 
些 无 线 通信 和 网络 如 无 线 局 域 网 中 ,两 个 无 线 站 之 间 的 信息 传递 可 能 需要 其 他 无 线 站 或 网 络 
中 心 的 转发 ,这 些 “ 中 转 站 ”就 可 能 算 改 转发 的 消息 。 对 于 移动 通信 和 网络, 当主 动 攻击 者 比 移 
动用 户 更 接近 基站 时 ,主动 攻击 者 发 射 的 信号 功率 要 比 移动 用 户 的 强 很 多 倍 ,使 得 基站 忽略 
移动 用 户 发 射 的 信号 而 只 接收 主动 攻击 者 的 信号 。 这 样 ,主动 攻击 者 就 可 以 算 改 移动 用 户 
的 信号 后 再 传 给 基站 。 在 移动 通信 网络 中 ,信息 自 改 攻击 对 移动 用 户 与 基站 之 间 的 信 令 传 
输 构成 很 大 威胁 。 
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4. 服务 后 抵赖 


所 谓 服务 后 抵赖 是 指 交易 双方 中 的 一 方 在 交易 完成 后 否认 其 参与 了 此 交易 。 这 种 威胁 
在 电子 商务 中 很 常见 ,假设 客户 通过 网 上 商店 选 购 了 一 些 商 品 , 然 后 通过 电子 支付 系统 向 网 
络 商店 付费 。 这 个 电子 商务 应 用 中 就 存在 着 两 种 服务 后 抵赖 的 威胁 : 

(1) 客户 在 选 购 了 商品 后 否认 他 选择 了 某 些 或 全 部 商品 而 拒绝 付费 。 

(2) 商店 收 到 了 客户 的 货款 却 否 认 已 收 到 货款 而 拒绝 交付 商品 。 


5. 重 传 攻击 


所 谓 重 传 攻击 是 指 主动 攻击 者 将 窃听 到 的 有 效 信息 经 过 一 段 时 间 后 再 传 给 信息 的 接收 
者 。 攻 击 者 的 目的 是 企图 利用 曾经 有 效 的 信息 在 改变 了 的 情形 下 达到 同样 的 目的 ,例如 攻 
击 者 利用 截获 到 的 合法 用 户口 令 来 获得 网 络 控制 中 心 的 授权 ,从 而 访问 网 络 资源 。 

此 外 ,无 线 通信 网 络 与 有 线 通信 网 络 一 样 也 面临 着 病毒 攻击 .拒绝 服务 等 威胁 ,这 些 攻 
击 的 目的 不 在 于 窃取 信息 和 非法 访问 网 络 ,而 是 阻止 网 络 的 正常 工作 。 


6.4 无 线 应 用 协议 应 用 安全 


6.4.1 WAP 协议 


WAP(Wireless Application Protocol ,无 线 应 用 协议 ) 是 一 个 开放 式 标准 协议 ,利用 它 可 
以 把 网 络 上 的 信息 传送 到 移动 电话 或 其 他 无 线 通信 终端 上 。 

WAP 是 由 爱立信 (Ericsson) ,诺基亚 (Nokia) 和 摩托 罗拉 (Motorola) 等 通信 业 巨 头 在 
1997 年 成 立 的 无 线 应 用 协议 论坛 (WAP Forum) 中 所 制定 的 。 可 以 把 网 络 上 的 信息 传送 到 
移动 电话 或 其 他 无 线 通 信 终 端 上 。 它 使 用 一 种 类 似 于 HTML 的 标记 式 语言 WML 
(Wireless Markup Language, 无 线 标记 语言 ) ,相当 于 国际 互联 网 上 的 HTML( 超 文件 标记 
语言 ) 并 可 通过 WAP Gateway 直接 访问 一 般 的 网 页 。 通 过 WAP, 用 户 可 以 随时 随地 利用 
无 线 通信 终端 来 获取 互联 网 上 的 即时 信息 或 公司 网 站 的 资料 ,真正 实现 无 线 上 网 。 它 是 移 
动 通信 与 互联 网 结合 的 第 一 阶段 性 产物 。 

WAP 能 够 运行 于 各 种 无 线 网 络 之 上 ,如 GSM、GPRS 和 CDMA 等 。 支持 WAP 技术 的 
手机 能 浏览 由 WML 描述 的 Internet 内 容 。 

WML 是 以 XML 为 基础 的 标记 语言 ,用 于 规范 窗 频 设备 ,如 手机 、` 呼 叫 器 等 如 何 显示 内 
容 和 使 用 者 接口 的 语言 。 由 于 使 用 罕 频 使 得 WML 受到 部 分 限制 ,如 较 小 型 的 显示 器 有限 
的 使 用 者 输入 设备 . 罕 频 网 络 联机 有限 的 内 存 和 资源 等 。 

WML 支持 文字 和 图 片 显示 ,内容 组 织 上 ,一 个 页 面 为 一 个 Card, 而 一 组 Card 则 构成 一 
个 Deck。 当 使 用 者 向 服务 器 提出 浏览 要 求 后 , WML 会 将 整个 Deck 发 送 至 客户 端的 浏览 
器 ,使 用 者 就 可 以 浏览 Deck 中 所 有 Card 的 内 容 , 而 不 需要 从 网 络 上 单独 下 载 每 个 Card。 

通过 WAP 的 这 种 技术 ,就 可 以 将 Internet 的 大 量 信息 及 各 种 各 样 的 业务 引入 到 移动 电 
话 ,.PALM 等 无 线 终端 之 中 。 无 论 在 何 时 、 何 地 ,只 要 需要 信息 ,打开 WAP 手机 ,用 户 就 可 
以 享受 无 穷 无 尽 的 网 上 信息 或 者 网 上 资源 ,如 综合 新 闻 、 天 气 预报 、 股 市 动态 .商业 报道 和 当 
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前 汇率 等 ;电子 商务 、 网 上 银行 也 将 逐一 实现 ;通过 WAP 手机 还 可 以 随时 随地 获得 体育 
比赛 结果 、 娱 乐 圈 趣 闻 等 ,为 生活 增添 情趣 ;还 可 以 利用 网 上 预定 功能 把 生活 安排 得 有 条 
不 率 。 

WAP 协议 包括 以 下 几 层 : 

(1) Wireless Application Environment(WAE); 

(2) Wireless Session Layer(WSL); 

(3) Wireless Transport Layer Security( WTLS); 

(4) Wireless Transport Layer(WTP) 。 

其 中 ,WAE 层 含有 微型 浏览 器 ,WML、WMIL Script 的 解释 器 等 功能 。WTLS 层 为 无 
线 电子 商务 及 无 线 加 密 传输 数据 时 提供 安全 方面 的 基本 功能 。 

WAP 可 提供 的 服务 主要 涉及 以 下 几 方 面 : 

(1) 信息 类 : 基于 短信 平台 上 的 信息 点 播 服 务 ,如 新 闻 、 天 气 预报 .折扣 消息 等 信息 。 

(2) 通信 类 : 利用 电信 运营 商 的 短信 平台 为 用 户 提供 的 诸如 E-mail 通知 、E-mail 等 通 
信服 务 。 

(3) 商务 类 : 移动 电子 商务 服务 ,包括 在 线 的 交易 .购物 支付 等 应 用 。 

(4) 娱乐 类 : 包括 各 种 游戏 ,图 片 及 音乐 铃声 下 载 等 。 

(5) 特殊 服务 类 : 如 广告 .位 置 服务 等 。 可 以 把 商家 的 广告 信息 定向 发 送 到 用 户 的 手 
机 里 。 


6.4.2 WAP 应 用 面临 的 安全 威胁 


在 WAP 应 用 中 受到 的 安全 威胁 与 有 线 环境 相似 ,主要 来 源 于 如 下 几 个 方面 : 

(1) 假冒 ,攻击 者 装扮 成 男 一 合法 用 户 非 法 访问 受害 者 的 资源 ,以 获取 某 种 利益 或 达到 
破坏 的 目的 。 

(2) 窃听 ,攻击 者 通过 对 传输 媒介 的 监听 非法 获取 传输 的 信息 。 这 是 对 通信 和 网络 最 常 
见 的 攻击 方法 ,这 种 威胁 完全 来 源 于 无 线 链 路 的 开放 性 。 

(3) 非 授权 访问 ,攻击 者 违反 安全 策略 ,利用 安全 系统 的 缺陷 非法 占有 系统 资源 或 访问 
本 应 受 保护 的 信息 。 

(4) 信息 否认 ,交易 的 一 方 对 交易 过 程 中 的 信息 (如 电子 合同 和 账单 ) 抵 赖 或 否认 。 造 
成 安全 威胁 的 不 仅仅 是 第 三 方 攻击 者 .交易 的 参与 方 也 同样 可 能 参与 安全 攻击 。 

(5) WAP 应 用 模型 本 身 存在 的 安全 漏洞 带 来 的 安全 问题 ,将 在 后 面 重点 阐述 。 


6.4.3 WAP 的 安全 体系 构架 


1. WAP 的 安全 构架 模型 


WAP 安全 构架 由 WTLS(Wireless Transport Layer Security) .WIM(Wireless Identity 
Module)、 WPKI (WAP Public Key Infrastructure) 和 WMI Script (Wireless Markup 
Language Script) 4 部 分 组 成 ,如 图 6.2 所 示 。 
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移动 终端 
软件 安全 平台 
(WTLS 协 议 、 eR 
WMLScript) WAP 网 关 、 Internet 主要 安全 参与 实体 
其 他 代理 服务 器 Web 服 务 器 
硬件 安全 设备 
(CWIM 卡 ) 无 线 认证 中 心 
WTLS/TLS/SSL 网 络 安全 协议 平台 
TCP/UDP/IP/PPP 
WPKI 安全 基础 设施 平台 
图 62 WAP 的 安全 构架 模型 
2. WTLS 分 析 


WAP 体系 构架 中 保障 通信 安全 的 一 个 重要 层次 就 是 WTLS。WTLS 工作 在 传输 层 之 
上 ,在 针对 罕 带 通信 信道 进行 了 优化 后 ,为 两 个 通信 实体 提供 机 密 性 、 数 据 完 整 性 和 通信 双 
方 的 身份 认证 。 

WTLS 的 主要 安全 目标 如 下 : 

(1) 数据 完整 性 : WTLS 能 确保 用 户 和 应 用 服务 器 间 的 数据 不 可 改变 和 不 被 中 断 , 对 发 
送 和 接收 间 的 报 文 内 容 变更 进行 检测 并 形成 相应 的 报告 。 

(2) 保密 性 : WTLS 能 确保 在 终端 和 应 用 服务 间 的 数据 传输 是 保密 的 ,并 且 不 会 被 任何 
窃取 了 数据 的 中 间 方 所 理解 。 

(3) 身份 认证 : WTLS 在 终端 和 应 用 服务 器 建立 起 了 认证 ,保证 通信 各 方 是 他 们 所 声称 
的 人 。 

(4) 不 可 否认 性 : 保证 参与 交易 的 各 方 不 能 否认 他 们 曾 参与 该 交易 。WTLS 能 检测 和 
拒绝 那些 要 求 重 传 的 数据 或 未 成 功 检验 的 数据 , 它 使 许多 典型 的 否认 攻击 更 困难 ,并 对 其 上 
层 协议 有 所 保护 。 


6.4.4 WAP 应 用 模型 存在 的 安全 漏洞 


1. WAP 应 用 模型 


WAP 系统 包括 WAP 无 线 用 户 、WAP 网 关 和 WAP 内 容 服 务 器 ( 见 图 6. 3)。 其 中 
WAP 网 关 起 着 协议 的 翻译 和 转换 作用 ,是 联系 无 线 通信 网 络 与 万 维 网 的 桥梁 。 网 关 与 服务 
器 之 间 通 过 HTTP 进行 通信 ,WAP 内 容 服务 器 存储 着 大 量 的 信息 , 供 WAP 无 线 用 户 访 
问 .查询 和 浏览 。 


2. 安全 漏洞 分 析 


在 传输 层 的 安全 保障 上 ,WTLS 和 TSL 协议 起 到 了 非常 关键 的 作用 。WTLS 和 TLS 
本 身 也 是 经 过 深思 熟 虑 的 协议 ,其 本 身 的 安全 性 也 是 很 高 的 。 但 是 由 于 WTLS 与 TLS 之 间 
的 不 兼容 ,两 者 之 间 需 要 WAP 网 关 的 转换 ,WML 与 HTML 之 间 也 需要 WAP 网 关 进行 转 
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移动 | 编码 后 的 请 求 | WAP | 服务 请 求 .| 


终 计 网 关 源 服 务 器 
CGI 
脚本 

WAE | 编码 后 的 响应 | 编码 服务 响应 

用 户 上 器 和 | ~ 

代理 译 码 器 内 容 


图 63 WAP 应 用 模型 


换 。 无 线 用 户 与 内 容 服 务 器 之 间 是 通过 WAP 网 关 建 立 的 间接 的 安全 连接 ,该 连接 并 不 是 
点 到 点 安全 的 ,这 样 就 带 来 一 个 被 称 为 “安全 缺口 "(Security Gap) 的 安全 漏洞 。 

用 户 的 移动 设备 与 内 容 服务 器 执行 一 些 无 线 应 用 的 时 候 , 需 要 向 内 容 服 务 器 传送 一 些 
ID 或 是 信用 卡号 等 敏感 信息 。 这 些 信息 先 通过 WTLS 的 加 密 传送 到 WAP 网 关 ,WAP 网 
关 要 将 这 些 信 息 解 密 后 ,再 通过 TLS 的 加 密 传 送 到 内 容 服务 器 。 从 这 个 过 程 可 以 看 出 ,用 
户 的 敏感 信息 在 整个 传送 过 程 中 并 不 都 是 加 密 的 ,其 间 会 短暂 地 以 明文 形式 存在 于 WAP 
网 关上 。 虽 然 这 个 过 程 是 很 短暂 的 ,但 也 会 泄漏 一 些 敏感 信息 。WAP 网 关 虽 然 是 连接 用 户 
移动 设备 和 内 容 服务 器 的 桥梁 ,但 却 也 是 两 者 之 间 安 全 的 缺口 所 在 。 


6.4.5 端 到 端的 安全 模型 


为 了 应 对 这 种 安全 漏洞 ,目前 已 经 提出 的 端 到 端的 安全 模型 主要 有 下 述 几 种 。 
1. 专用 WAP 网 关 


内 容 服 务 器 的 安全 网 络 内 配置 自己 的 专用 WAP 网 关 , 无 线 用 户 通常 直 接连 接 到 一 个 
默认 的 WAP Proxy 网 关 , 利 用 Proxy Navigationl 技术 ,Proxy 网 关 将 连接 请 求 转向 专用 的 
WAP 网 关 , 与 专用 WAP 网 关 建 立 WTLS 连接 ,这 样 即使 在 WAP 网 关内 敏感 信息 以 明文 
的 形式 暂时 存在 , 那 也 是 在 内 容 服务 器 的 安全 网 络 内 部 ,保证 了 端 到 端的 安全 。 但 这 种 方案 
仅仅 适用 于 对 于 安全 性 有 特别 高 需求 的 公司 ,比如 银行 ,其 需要 付出 的 代价 不 仅仅 是 额外 硬 
件 的 投资 ,而 且 还 有 日 常 维护 带 来 的 费用 。 


2. WAP 隧道 技术 


数据 传输 前 ,在 无 线 用 户 终端 上 对 数据 包 进 行 WTLS 加 密 , 当 加 密 数据 包 从 无 线 用 户 
传输 到 WAP 网 关上 时 ,不 进行 WTLS 的 解密 ,而 是 直接 进行 TLS 加 密 , 传 输 给 WAP 内 容 
服务 器 。 在 内 容 服 务 器 端 进行 TLS 和 WTLS 的 两 次 解密 后 ,获得 明文 数据 。 此 种 模型 方案 
对 网 关 服 务 器 和 内 容 服 务 器 的 协议 流程 有 一 定 的 改动 。 


3. WAP 2.0 模型 


采用 完全 的 WAP 2. 0 协议 ,无 线 用 户 终端 拥有 HTTP 或 者 简化 的 HTTP 功能 ,并 提 
供 TLS 的 安全 协议 ,这 样 无 线 终端 和 WAP 内容 服务 器 之 间 没 有 协议 转换 的 需求 ,就 可 以 透 
明 地 穿 过 WAP 网 关 , 与 内 容 服务 器 建立 端 到 端的 安全 通信 。 但 是 由 于 国内 WAP 2.0 的 应 
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用 环境 还 不 成 熟 , 目 前 还 不 是 主流 ,没有 很 大 的 实用 价值 。 
6.4.6 基于 应 用 层 的 安全 模型 


上 述 3 种 常用 的 安全 模型 都 存在 一 些 缺点 ,要 么 建设 成 本 太 高 ,要 么 对 现 有 协议 的 改动 
过 多 ,或 者 兼容 性 太 差 。 在 这 里 提出 一 个 较 易 实现 的 安全 模型 一 一 基于 应 用 层 的 端 到 端 加 
密 模型 : 在 WAP 的 应 用 层 先 对 数据 进行 一 次 加 密 , 再 通过 WAP 的 安全 传输 层 进行 传输 ， 
数据 到 达 内 容 服务 器 后 ,应 用 层 再 对 数据 进行 解密 得 到 明文 。 

这 样 即使 在 WAP 网 关中 暂时 存在 WTLS 的 解密 数据 ,这 个 数据 也 只 是 一 个 密 文 数据 
(因为 应 用 层 先进 行 了 一 次 加 密 ) ,窃取 者 在 不 知道 应 用 层 加 密 密 钥 的 情况 下 也 无 法 得 到 明 
文 。 此 种 模型 的 关键 就 在 于 保证 应 用 层 加 密 密 钥 的 安全 性 ,这 可 以 通过 采用 目前 很 成 熟 的 
密 钥 交 换算 法 来 实现 ,比如 RSA 算法 和 EC Diffie-Hellman 算法 。 


6.5 无 线 网 络 的 安全 措施 


基于 以 上 无 线 网 络 存在 的 诸多 安全 隐患 ,如 何 采 取 恰 当 的 方法 进行 防范 ,使 无 线 网 络 的 
安全 隐患 消灭 在 萌芽 状态 ,尽量 使 无 线 网 络 的 受 破坏 的 程度 减少 到 最 低 , 以 保证 无 线 网 络 应 
用 的 范围 普及 ? 下 面 介绍 几 种 无 线 网 络 安全 技术 实现 的 措施 。 

(1) 采用 128 位 WEP 加 密 技术 ,而 不 使 用 厂商 自 带 的 WEP 密 钥 。 

IEEE 802. 11b、IEEE 802. 11a 以 及 IEEE 802. 11g 协议 中 都 包含 有 一 个 可 选 安全 组 
件 , 名 为 无 线 等 效 协 议 (WEP) , 它 可 以 对 每 一 个 企图 访问 无 线 网 络 的 人 的 身份 进行 识别 , 同 
时 对 网 络 传输 内 容 进行 加 密 。 尽 管 现 有 无 线 网 络 标准 中 的 WEP 技术 遭 到 了 批评 ,但 如 果 能 
够 正确 使 用 WEP 的 全 部 功能 ,那么 WEP 仍 提供 了 在 一 定 程度 上 比较 合理 的 安全 措施 。 这 
意味 着 需要 更 加 注重 密 钥 管理 ,避免 使 用 默认 选项 ,并 确保 在 每 个 可 能 被 攻击 的 位 置 上 都 进 
行 了 足够 的 加 密 。WEP 使 用 了 RC4 加 密 算法 ,该 算法 是 由 著名 的 解密 专家 Ron Rivest 开 
发 的 一 种 流 密码 。 发 送 者 和 接受 者 都 使 用 流 密码 ,用 一 个 双方 都 知道 的 共享 密 钥 创建 一 致 
的 伪 随机 字符 串 。 整 个 过 程 需要 发 送 者 使 用 流 密码 对 传输 内 容 执 行 逻辑 异 或 (XOR) 操 作 ， 
产生 加 密 内 容 。 尽 管理 论 上 的 分 析 认 为 WEP 技术 并 不 保险 ,但 是 对 于 普通 入 侵 者 而 言 ， 
WEP 已 经 是 一 道 难以 逾越 的 鸿沟 。 大 多 数 无 线路 由 器 都 使 用 至 少 支持 40 位 加 密 的 WEP， 
通常 还 支持 128 位 甚至 256 位 选项 。 在 试图 同 网 络 连接 的 时 候 , 客 户 端 设 置 中 的 SSID 和 密 
钥 必须 同 无 线路 由 器 的 匹配 .否则 将 会 失败 。 

(2) 使 用 MAC 地 址 过 滤 策 略 。 

MAC 地 址 是 每 块 网 卡 固定 的 物理 地 址 , 它 在 网 卡 出 厂 时 就 已 经 设 定 。MAC 地 址 过 滤 
的 策略 就 是 使 无 线路 由 器 只 允许 部 分 MAC 地 址 的 网 络 设备 进行 通信 ,或 者 禁止 那些 黑 名 
单 中 的 MAC 地 址 访问 。MAC 地 址 的 过 滤 策 略 是 无 线 通信 网 络 的 一 个 基本 的 而 且 有 用 的 
措施 , 它 唯一 的 不 足 是 必须 手动 输入 MAC 地 址 过 滤 标 准 。 启 用 MAC 地 址 过 滤 ,无 线路 由 
器 获取 数据 包 后 ,就 会 对 数据 包 进行 分 析 。 如 果 此 数据 包 是 从 被 禁止 的 MAC 地 址 列表 中 
发 送 来 的 ,那么 无 线路 由 器 就 会 丢弃 此 数据 包 , 不 进行 任何 处 理 。 因 此 对 于 恶意 的 主机 , 即 
使 不 断 改变 IP 地 址 也 没有 用 。 
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(3) 禁用 SSID 广播 。 

SSID (Service Set Identifier) 是 无 线 网 络 用 于 定位 服务 的 一 项 功能 .为 了 能 够 进行 通 
信 ,无 线路 由 器 和 主机 必须 使 用 相同 的 SSID。 在 通信 过 程 中 ,无 线路 由 器 首先 广播 其 
SSID ,任何 在 此 接收 范围 内 的 主机 都 可 以 获得 SSID ,使 用 此 SSID 值 对 自身 进行 配置 后 就 可 
以 和 无 线路 由 器 进行 通信 。 毫 无 疑问 ,SSID 的 使 用 暴露 了 路 由 器 的 位 置 ,这 会 带 来 潜在 的 
安全 问题 ,因此 目前 大 部 分 无 线路 由 器 都 已 经 支持 禁用 自动 广播 SSID 功能 。 但 是 禁用 
SSID 在 提高 安全 性 的 同时 ,也 在 某 种 程度 上 带 来 不 便 , 进 行 通信 的 客户 机 必须 手动 进行 
SSID 配置 。 总 之 , 随 着 无 线 网 络 应 用 的 普及 ,无 线 网 络 的 安全 问题 会 越 来 越 受到 专家 们 的 
重视 ,由 此 而 来 的 安全 技术 和 举措 也 会 日 益 成 熟 。 

(4) 采用 端口 访问 技术 (802. 1x) 进 行 控制 ,防止 非 授权 的 非法 接 人 和 访问 。 

(5) 对 于 密度 等 级 高 的 网 络 采用 VPN 进行 连接 。 

(6) 对 AP 和 网 卡 设置 复杂 的 SSID ,并 根据 需求 确定 是 否 需要 漫游 ,以 确定 是 否 需 要 
MAC 绑 定 。 

(7) 禁止 AP 向 外 广播 其 SSID。 

(8) 修改 默认 的 AP 密码 ,Intel 的 AP 的 默认 密码 是 Intel。 

(9) 布置 AP 的 时 候 要 在 公司 办 公 区 域 以 外 进行 检查 ,防止 AP 的 覆盖 范围 超出 办 公 区 
域 (检查 难度 比较 大 ) ,同时 要 让 保安 人 员 在 公司 附近 进行 巡查 ,防止 外 部 人 员 在 公司 附近 接 
入 网 络 。 

(10) 禁止 员工 私自 安装 AP, 通 过 便携 机 配置 无 线 网 卡 和 无 线 扫描 软件 可 以 进行 扫描 。 

(11) 如 果 网 卡 支持 修改 属性 需要 密码 功能 ,要 开启 该 功能 ,防止 网 卡 属性 被 修改 。 

(12) 配置 设备 检查 非法 进入 公司 的 2. 4GHz 电磁 波 发 生 器 ,防止 被 干扰 和 DoS 攻击 。 

(13) 制定 无 线 网 络 管理 规定 ,规定 员工 不 得 把 网 络 设 置信 息 告诉 公司 外 部 人 员 ,禁止 
设置 P2P 的 Ad hoc 网 络 结构 。 

(14) 跟踪 无 线 网 络 技术 ,特别 是 安全 技术 (如 802. 11i 对 密 钥 管理 进行 了 规定 ) ,对 网 络 
管理 人 员 进 行 知识 培训 。 


6.6 无 线 局 域 网 安全 技术 


6.6.1 无 线 局 域 网 的 开放 性 


无 线 网 络 显 示 出 以 下 优越 性 : 可 移动 性 \ 安 装 简 单 、 高 灵活 性 和 扩展 能 力 , 作 为 对 传统 
有 线 网 络 的 延伸 ,在 许多 特殊 环境 中 得 到 了 广泛 的 应 用 。 但 是 无 线 局 域 网 的 安全 性 更 值得 
注意 。 由 于 传送 的 数据 是 利用 无 线 电波 在 空中 辐射 传播 ,无 线 电波 可 以 穿 透 天 花 板 、 地 板 和 
墙壁 ,发 射 的 数据 可 能 到 达 预 期 之 外 的 、 安 装 在 不 同 楼 层 , 甚 至 是 发 射 机 所 在 的 大 楼 之 外 的 
接收 设备 ,任何 人 都 有 条 件 窃听 或 干扰 信息 ,数据 安全 就 成 为 最 重要 的 问题 。 

早期 的 无 线 网 络 标准 安全 性 并 不 完善 ,技术 上 存在 一 些 安全 漏洞 。 但 是 另 一 方面 ,由 于 
WLAN 标准 是 公开 的 , 随 着 使 用 的 推广 ,更 多 的 专家 参与 了 无 线 标准 的 制定 ,使 其 安全 技术 
迅速 成 熟 起 来 。 现 在 不 只 是 在 家 庭 ,学 校 和 中 小 企业 WLAN 得 到 广泛 的 应 用 ,在 安全 最 敏 
感 的 大 企业 、 大 银行 户头 (例如 全 球 财富 500 强 ) 和 政府 机 构 ,WLAN 的 安全 可 靠 性 也 得 到 
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了 认可 ,并 大 量 地 推广 使 用 。 
6.6.2 无 线 局 域 网 所 面临 的 危险 


下 面 介绍 一 些 无 线 局 域 网 所 面临 的 危险 。 知 道 了 危险 为 何 存在 ,那么 解决 也 就 相对 容 
易 一 些 。 


1. 容易 侵入 


无 线 局 域 网 非常 容易 被 发 现 ,为 了 能 够 使 用 户 发 现 无 线 网 络 的 存在 ,网 络 必须 发 送 有 特 
定 参数 的 信 标 帧 ,这 样 就 给 攻击 者 提供 了 必要 的 网 络 信息 。 人 和 人 侵 者 可 以 通过 高 灵敏 度 天 线 
从 公路 边 ,楼 宇 中 以 及 其 他 任何 地 方 对 网 络 发 起 攻击 而 不 需要 任何 物理 方式 的 侵入 。 


2. 非法 的 AP 


无 线 局 域 网 易于 访问 和 配置 简单 的 特性 ,使 网 络 管理 员 和 安全 官员 非常 头痛 。 因 为 任 
何人 的 计算 机 都 可 以 通过 自己 购买 的 AP 不 经 过 授权 而 连 人 网 络 。 很 多 部 门 未 通过 公司 
IT 中 心 授权 就 自 建 无 线 局 域 网 ,用 户 通 过 非法 AP 接 入 给 网 络 带 来 很 大 安全 隐患 。 


3. 经 授权 使 用 服务 


一 半 以 上 的 用 户 在 使 用 AP 时 只 是 在 其 默认 的 配置 基础 上 进行 很 少 的 修改 。 几 乎 所 有 
的 AP 都 按照 默认 配置 来 开启 WEP 进行 加 密 或 者 使 用 原 厂 提 供 的 默认 密 钥 。 由 于 无 线 局 
域 网 的 开放 式 访问 方式 ,未 经 授权 擅自 使 用 网 络 资 源 不 仅 会 增加 带宽 费用 ,更 可 能 会 导致 法 
律 纠纷 。 未 经 授权 的 用 户 没 有 遵守 服务 提供 商 提 出 的 服务 条 款 , 可 能 会 导致 ISP 中 断 服务 。 


4. 服务 和 性 能 的 限制 


无 线 局 域 网 的 传输 带宽 是 有 限 的 ,由 于 物理 层 的 开销 ,使 无 线 局 域 网 的 实际 最 高 有 效 知 
吐 量 仅 为 标准 的 一 半 , 并 且 该 带宽 是 被 AP 所 有 用 户 共 享 的 。 无 线 带宽 可 以 被 几 种 方式 吞 
哈 : 来 自 有 线 网 络 远 远 超过 无 线 网 络 带宽 的 网 络 流量 ,如 果 攻 击 者 从 快速 以 太 网 发 送 大 量 
的 ping 流量 ,就 会 轻易 地 吞噬 AP 有 限 的 带宽 。 


5. 地 址 欺骗 和 会 话 拦截 


由 于 802. 11 无 线 局 域 网 对 数据 帧 不 进行 认证 操作 ,攻击 者 可 以 通过 欺骗 帧 去 重新 定向 
数据 流 和 使 ARP 表 变 得 混乱 ,通过 非常 简单 的 方法 ,攻击 者 可 以 轻易 获得 网 络 中 站 点 的 
MAC 地 址 ,这 些 地 址 可 以 在 恶意 攻击 时 使 用 。 


6. 流量 分 析 与 流量 侦 听 


802. 11 无 法 防止 攻击 者 采用 被 动 方式 监听 网 络 流量 ,而 任何 无 线 网 络 分 析 仪 都 可 以 不 
受 任何 阻碍 地 截获 未 进行 加 密 的 网 络 流量 。 目 前 ,WEP 有 漏洞 可 以 被 攻击 者 利用 , 它 仅 能 
保护 用 户 和 网 络 通信 的 初始 数据 ,并 且 管 理 和 控制 帧 是 不 能 被 WEP 加 密 和 认证 的 ,这 样 就 
给 攻击 者 以 欺骗 帧 中 止 网 络 通信 提供 了 机 会 。 
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7. 高 级 入 侵 


一 旦 攻击 者 进入 无 线 网 络 , 它 将 成 为 进一步 人 侵 其 他 系统 的 起 点 。 很 多 网 络 都 有 一 套 
经 过 精心 设置 的 安全 设备 作为 网 络 的 外 过 ,以 防止 非法 攻击 ,但 是 在 外 过 保护 的 网 络 内 部 却 
非常 脆弱 ,容易 受到 攻击 。 无 线 网 络 通过 简单 配置 就 可 快速 地 接 和 人 网 络 主干 ,但 这 样 会 使 网 
络 暴露 在 攻击 者 面前 ,从 而 遭 到 攻击 。 


6.6.3 无 线 局 域 网 的 安全 技术 


无 线 局 域 网 的 安全 技术 在 近 几 年 得 到 了 快速 的 发 展 和 应 用 。 下 面 是 业界 常见 的 无 线 网 
络 安全 技术 : 

(1) 服务 区 标识 符 (SSID) 匹 配 ; 

(2) 无 线 网 卡 物理 地 址 (MAC) 过 滤 ; 

(3) 有 线 等 效 保密 (WEP); 

(4) 端口 访问 控制 技术 (IEEE 802. 1x) 和 可 扩展 认证 协议 (EAP); 

(5) WPA (Wi-Fi 保护 访问 ) 技 术 ; 

(6) 高 级 的 无 线 局 域 网 安全 标准 一 一 IEEE 802. 11i。 

具体 来 说 ,为 了 有 效 保 障 无 线 局 域 网 (WLAN) 的 安全 性 ,就 必须 实现 以 下 几 个 安全 
目标 : 

(1) 提供 接 人 控制 : 验证 用 户 ,授权 他 们 接 入 特定 的 资源 ,同时 拒绝 为 未 经 授权 的 用 户 
提供 接 入 。 

(2) 确保 连接 的 保密 与 完好 : 利用 强 有 力 的 加 密 和 校 验 技术 ,防止 未 经 授权 的 用 户 窍 
听 、 搬 和 人 或 修改 通过 无 线 网 络 传输 的 数据 。 

(3) 防止 拒绝 服务 (DoS) 攻 击 : 确保 不 会 有 用 户 占用 某 个 接 人 点 的 所 有 可 用 带宽 ,从 而 
影响 其 他 用 户 的 正常 接 入 。 


1. SSID 


SSID(Service Set Identifier) 将 一 个 无 线 局 域 网 分 为 几 个 不 同 的 子 网 络 ,每 一 个 子 网 络 
都 有 其 对 应 的 身份 标识 (SSID), 只 有 无 线 终端 设置 了 配对 的 SSID 才 接 入 相应 的 子 网 络 。 
所 以 可 以 认为 SSID 是 一 个 简单 的 口令 ,提供 了 口令 认证 机 制 , 实 现 了 一 定 的 安全 性 。 但 是 
这 种 口令 极 易 被 无 线 终端 探测 出 来 ,企业 级 无 线 应 用 绝 不 能 只 依赖 这 种 技术 做 安全 保障 ,而 
只 能 作为 区 分 不 同 无 线 服务 区 的 标识 。 


2. MAC 地 址 过 滤 


每 个 无 线 工 作 站 网 卡 都 由 唯一 的 物理 地 址 (MAC) 标 识 , 该 物理 地 址 编码 方式 类 似 于 以 
太 网 物理 地 址 ,是 48 位 。 网 络 管理 员 可 在 无 线 局 域 网 访问 点 AP 中 手工 维护 一 组 允许 (或 
不 允许 ) 通 过 AP 访问 网 络 地 址 的 列表 ,以 实现 基于 物理 地 址 的 访问 过 滤 。 

1) MAC 地 址 过 滤 的 好 处 和 优势 

(1) 简化 了 访问 控制 。 

(2) 接受 或 拒绝 预先 设 定 的 用 户 。 
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(3) 被 过 滤 的 MAC 不 能 进行 访问 。 

(4) 提供 了 第 2 层 防 护 。 

2) MAC 地 址 过 滤 的 缺点 

(1) 当 AP 和 无 线 终端 数量 较 多 时 ,大 大 增加 了 管理 负担 。 
(2) 容易 受到 MAC 地 址 伪装 攻击 。 


3. IEEE 802. 11 WEP 


1) WEP 

IEEE 80211.b 标准 规定 了 一 种 称 为 有 线 等 效 保 密 (WEP) 的 可 选 加 密 方案 ,其 目的 是 为 
WLAN 提供 与 有 线 网 络 相 同 级 别 的 安全 保护 。WEP 是 采用 静态 的 有 线 等 同 保密 密 钥 的 基 
本 安全 方式 。 静 态 WEP 密 钥 是 一 种 在 会 话 过 程 中 不 发 生变 化 ,也 不 针对 各 个 用 户 而 变化 的 
密 钥 。 

2) WEP 的 好 处 和 优势 

WEP 在 传输 上 提供 了 一 定 的 安全 性 和 保密 性 ,能 够 阻止 无 线 用 户 有 意 或 无 意 地 查看 到 
在 AP 和 STA 之 间 传 输 的 内 容 , 其 优点 在 于 : 

(1) 全 部 报 文 都 使 用 校 验 和 加 密 ,提供 了 一 些 抵抗 自 改 的 能 力 。 

(2) 通过 加 密 来 维护 一 定 的 保密 性 ,如 果 没 有 密 钥 ,就 难以 对 报 文 解密 。 

(3) WEP 非常 容易 实现 。 

(4) WEP 为 WLAN 应 用 程序 提供 了 非常 基本 的 保护 。 

3) WEP 的 缺点 

(1) 静态 WEP 密 钥 对 于 WLAN 上 的 所 有 用 户 都 是 通用 的 。 

这 意味 着 如 果 某 个 无 线 设备 丢失 或 者 被 盗 ,所 有 其 他 设备 上 的 静态 WEP 密 钥 都 必须 进 
行 修改 ,以 保持 相同 等 级 的 安全 性 。 这 将 给 网 络 的 管理 员 带 来 非常 费时 费力 的 .不 切实 际 的 
管理 任务 。 

(2) 缺少 密 钥 管理 。 

WEP 标准 中 并 没有 规定 共享 密 钥 的 管理 方案 ,通常 是 手工 进行 配置 与 维护 。 同 时 由 于 
更 换 密 钥 的 费时 与 困难 ,所 以 密 钥 通常 长 时 间 使 用 而 很 少 更 换 。 

(3) ICV 算法 不 合适 。 

ICV 是 一 种 基于 CRC-32 的 用 于 检测 传输 噪音 和 普通 错误 的 算法 。CRC-32 是 信息 的 
线性 函数 ,这 意味 着 攻击 者 可 以 算 改 加 密 信 息 , 并 很 容易 地 修改 ICV ,使 信息 表面 上 看 起 来 
是 可 信和 的 。 

(4) RC4 算法 存在 弱点 。 

在 RC4 中 ,人 们 发 现 了 弱 密 钥 。 所 谓 弱 密 钥 , 就 是 密 钥 与 输出 之 间 存 在 相关 性 。 攻 击 
者 收集 到 足够 的 使 用 弱 密 钥 的 包 后 ,就 可 以 对 它们 进行 分 析 , 只 需 尝 试 很 少 的 密 钥 就 可 以 接 
入 到 网 络 中 。 

(5) 认证 信息 易于 伪造 。 

基于 WEP 的 共享 密 钥 认证 的 目的 就 是 实现 访问 控制 ,然而 事实 却 截然 相反 ,只 要 通过 
监听 一 次 成 功 的 认证 ,攻击 者 以 后 就 可 以 伪造 认证 。 启 动 共享 密 钥 认证 实际 上 降低 了 网 络 
的 总 体 安全 性 ,使 猜 中 WEP 密 钥 变 得 更 为 容易 。 
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(6) WEP 2 算法 没有 解决 其 机 制 本 身 产生 的 安全 漏洞 。 

为 了 提供 更 高 的 安全 性 ,WiFi 工作 组 提供 了 WEP 2 技术 ,该 技术 与 WEP 算法 相 比 ,只 
是 将 WEP 密 钥 的 长 度 由 40 位 加 长 到 128 位 ,初始 化 向 量 (IV) 的 长 度 由 24 位 加 长 到 
128 位 ,然而 WEP 算法 的 安全 漏洞 是 由 于 WEP 机 制 本 身 引 起 的 ,与 密 钥 的 长 度 无 关 , 即 使 
增加 加 密 密 钥 的 长 度 ,也 不 可 能 增强 其 安全 程度 。 也 就 是 说 ,WEP 2 算法 并 没有 起 到 提高 
安全 性 的 作用 。 


4. IEEE 802. 1x/EAP 用 户 认证 


IEEE 802. 1x 是 针对 以 太 网 而 提出 的 基于 端口 进行 网 络 访问 控制 的 安全 性 标准 草案 。 
基于 端口 的 网 络 访问 控制 利用 物理 层 特性 对 连接 到 LAN 端口 的 设备 进行 身份 认证 。 如 果 
认证 失败 , 则 禁止 该 设备 访问 LAN 资源 。 

尽管 IEEE 802. 1x 标准 最 初 是 为 有 线 以 太 网 设计 和 制订 的 ,但 它 也 适用 于 符合 IEEE 
802. 11 标准 的 无 线 局 域 网 ,上 且 被 视 为 是 WLAN 的 一 种 增强 性 网 络 安全 解决 方案 。IEEE 
802. 1x 体系 结构 包括 3 个 主要 的 组 件 : 

(1) 请 求 方 (Supplicant) : 提出 认证 申请 的 用 户 接 入 设备 ,在 无 线 网 络 中 ,通常 指 待 接 入 
网 络 的 无 线 客户 机 STA 。 

(2) 认证 方 (Authenticator) : 允许 客户 机 进行 网 络 访问 的 实体 ,在 无 线 网 络 中 ,通常 指 
访问 接 入 点 (AP)。 

(3) 认证 服务 器 (Authentication Server) : 为 认证 方 提供 认证 服务 的 实体 。 认 证 服务 器 
对 请 求 方 进行 验证 ,然后 告知 认证 方 该 请 求 者 是 否 为 授权 用 户 。 认 证 服务 器 可 以 是 某 个 单 
独 的 服务 器 实体 ,也 可 以 不 是 ,后 一 种 情况 通常 是 将 认证 功能 集成 在 认证 方 。 

IEEE 802. 1x 草案 为 认证 方 定义 了 两 种 访问 控制 端口 , 即 受 控 端 口 和 非 受 控 端口 。 受 
控 端 口 分 配给 那些 已 经 成 功 通过 认证 的 实体 进行 网 络 访问 ;而 在 认证 尚未 完成 之 前 ,所 有 的 
通信 数据 流 从 非 受 控 端口 进出 。 非 受 控 端口 只 允许 通过 IEEE 802. 1x 认证 数据 ,一 旦 认证 
成 功 通过 ,请 求 方 就 可 以 通过 受 控 端口 访问 LAN 资源 和 服务 。 图 6.4 给 出 IEEE 802. 1x 认 
证 前 后 的 逻辑 示意 图 。 


802，1x 认 证 系统 802，1x 认 证 系统 | 
受 控 端口 非 受 控 端口 ! 受 控 端口 非 受 控 端 口 | 


{ms 


1 
1 

1 

1 

1 

1 | 

1 已 认证 
1 p> 

1 

1 

1 

1 

1 

1 


(a) 认证 前 (b) 认证 后 
图 64 IEEE 8021x 认 证 前 后 的 逻辑 示意 图 


IEEE 802. 1x 技术 是 一 种 增强 型 的 网 络 安全 解决 方案 。 在 采用 IEEE 802. 1x 的 无 线 
LAN 中 ,无 线 用 户 端 安装 IEEE 802. 1x 客户 端 软件 作为 请 求 方 , 无 线 访 问 点 (AP) 内 徐 
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IEEE 802. 1x 认证 代理 作为 认证 方 ,同时 它 还 作为 Radius 认证 服务 器 的 客户 端 ,负责 用 户 
与 Radius 服务 器 之 间 认 证 信息 的 转发 。 


5. WPA(IEEE 802. 11i) 


1) IEEE 802. 11i 一 一 新 一 代 WLAN 安全 标准 

为 了 使 WLAN 技术 从 安全 性 得 不 到 很 好 保障 的 困境 中 解脱 出 来 ,IEEE 802. 11 的 i 工 
作 组 致力 于 制订 被 称 为 IEEE 802. 11i 的 新 一 代 安 全 标准 ,这 种 安全 标准 是 为 了 增强 WLAN 
的 数据 加 密 和 认证 性 能 ,定义 了 RSN(Robust Security Network) 的 概念 ,并 且 针 对 WEP 加 
密 机 制 的 各 种 缺陷 做 了 多 方面 的 改进 。 

IEEE 802. 11i 规定 使 用 IEEE 802. 1x 认证 和 密 钥 管理 方式 ,在 数据 加 密 方面 ,定义 了 
TKIP(Temporal Key Integrity Protocol) 、CCMP (Counter-Mode/CBC-MAC Protocol) 和 
WRAP(Wireless Robust Authenticated Protocol) 3 种 加 密 机 制 。 其 中 TKIP 采用 WEP 机 
制 中 的 RC4 作为 核心 加 密 算 法 ,可 以 通过 在 现 有 的 设备 上 升级 固件 和 驱动 程序 的 方法 达到 


提高 WLAN 安全 的 目的 。CCMP 机 制 基于 AES 


IEEE 802.11i - WPA 
(Advanced Encryption Standard) 加 密 算法 和 CCM IEEE 802.1x 认 证 | 
(Counter-Mode/CBC-MAC) 认证 方式 ,使 得 BSS 人 
WLAN 的 安全 程度 大 大 提高 ,是 实现 RSN 的 强制 和 | 
性 要 求 o Cd | 
2) WPA 一 一 向 IEEE 802. 11i 过 渡 的 中 间 标 准 窗 钥 体系 ! 
" (key hierarchy) | 
然而 ,市 场 对 于 提高 WLAN 安全 的 需求 是 十 窗 胡 官 理 | | wpA 
分 紧迫 的 ,IEEE 802. 11i 的 进展 并 不 能 满足 这 一 需 (key managemen) [| 
要 。 在 这 种 情况 下 ,Wi-Fi 联盟 制定 了 WPA (Wi-Fi 加 密 与 认证 协商 | 
二 (cipher and authentication 六 一 全] 
Protected Access) 标 准 。WPA 是 IEEE 802. 11i 的 negotiation) | 
一 个 子 集 , 其 核心 就 是 IEEE 802. lx 和 TKIP。 
TKTP | 
WPA 与 IEEE 802. 11i 的 关系 如 图 6. 5 所 示 。 CCMP | 
WPA 采 用 了 IEEE 802. 1x 和 TKIP 来 实现 WRAP | 


WLAN 的 访问 控制 、. 密 钥 管理 与 数据 加 密 。 

尽管 WPA 在 安全 性 方面 较 WEP 有 了 很 大 的 
改善 和 加 强 , 但 WPA 只 是 一 个 临时 的 过 渡 性 方案 
采用 AES 加 密 机 制 。 


6.6.4 无 线 网 络 主流 技术 安全 解决 方案 


1. 隐藏 SSID 


图 65 WPA 与 IEEE 8021fi 的 关系 


,在 WPA 2(IEEE 802. 11i) 中 将 会 全 面 


SSID 即 Service Set Identifier 的 简称 ,让 无 线 客户 端 能 够 识别 不 同 的 无 线 网 络 ,类 似 手 
机 识别 不 同 的 移动 运营 商 的 机 制 。 参 数 在 设备 默认 设 定 中 是 被 AP 无 线 接 人 点 广播 出 去 
的 ,客户 端 只 有 收 到 这 个 参数 或 者 手动 设 定 与 AP 相同 的 SSID 才能 连接 到 无 线 网 络 。 而 如 
果 把 这 个 广播 禁止 ,一 般 的 漫游 用 户 在 无 法 找到 SSID 的 情况 下 是 无 法 连接 到 网 络 的 。 

需要 注意 的 是 ,如 果 黑 客 利用 其 他 手段 获取 相应 参数 , 仍 可 接 人 目标 网 络 , 因 此 ,隐藏 
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SSID 适用 于 在 一 般 SOHO 环境 中 当 作 简单 口令 安全 方式 。 


2. MAC 地 址 过 滤 


顾名思义 ,这 种 方式 就 是 通过 对 AP 的 设 定 , 将 指定 的 无 线 网 卡 的 物理 地 址 (MAC 地 
址 ) 输 入 到 AP 中。 而 AP 对 收 到 的 每 个 数据 包 都 会 做 出 判断 ,只 有 符合 设 定 标准 的 才能 被 
转发 ,否则 将 会 被 丢弃 。 

这 种 方式 比较 麻烦 ,而 且 不 能 支持 大 量 的 移动 客户 端 。 另 外 ,如 果 黑 客 资 取 合法 的 
MAC 地 址 信息 , 仍 可 以 通过 各 种 方法 使 用 假冒 的 MAC 地 址 登录 网 络 ,一 般 SOHO 和 小 型 
企业 工作 室 可 以 采用 该 安全 手段 。 


3. WEP 加 密 


WEP 是 Wired Equivalent Privacy 的 简称 ,所 有 经 过 Wi-Fi 认证 的 设备 都 支持 该 安全 协 
定 。 采 用 64 位 或 128 位 加 密 密 钥 的 RC4 加 密 算法 ,保证 传输 数据 不 会 以 明文 方式 被 截获 。 

该 方法 需要 在 每 套 移动 设备 和 AP 上 配置 密码 ,部署 比较 麻烦 。 另 外 ,由 于 它 使 用 静态 
非 交 换 式 密 钥 ,因此 其 安全 性 也 受到 了 业界 的 质疑 。 但 是 它 仍 然 可 以 阻挡 一 般 的 数据 截获 
攻击 ,一般 用 于 SOHO 和 中 小 型 企业 的 安全 加 密 。 


4. AP 隔离 


类 似 于 有 线 网 络 的 VLAN, 将 所 有 的 无 线 客户 端 设备 完全 隔离 ,使 之 只 能 访问 AP 连接 
的 固定 网 络 。 

该 方法 用 于 对 酒店 和 机 场 等 公共 热点 (Hot Spot) 的 架设 ,让 接 入 的 无 线 客户 端 保持 隔 
离 ,提供 安全 的 Internet 接 入 。 


5. IEEE 802. 1x 协议 


IEEE 802. 1x 协议 由 IEEE 定义 ,用 于 以 太 网 和 无 线 局 域 网 中 的 端口 访问 与 控制 。 
IEEE 802. 1x 引入 了 PPP 协议 定义 的 扩展 认证 协议 (EAP)。EAP 可 以 采用 MD5. 一 次 性 
口令 ,智能卡 和 公共 密 钥 等 更 多 的 认证 机 制 , 从 而 提供 更 高 级 别 的 安全 。 在 用 户 认证 方面 ， 
IEEE 802. 1x 的 客户 端 认 证 请 求 也 可 以 由 外 部 的 Radius 服务 器 进行 认证 。 该 认证 属于 过 
渡 期 方法 , 且 各 厂商 的 实现 方法 各 有 不 同 ,直接 造成 兼容 问题 。 

该 方法 需要 专业 知识 部 署 和 Radius 服务 器 支持 ,费用 偏 高 ,一 般 用 于 企业 无 线 网 络 
布局 。 


6. WPA 


WPA 即 Wi-Fi Protected Access 的 简称 ,是 下 一 代 无 线 标准 IEEE 802. 11i 之 前 的 过 渡 
方案 ,也 是 该 标准 内 的 一 小 部 分 。WPA 率先 使 用 IEEE 802. 11i 中 的 加 密 技 术 一 一 TKIP 
(Temporal Key Integrity Protocol) ,这 项 技术 可 大 幅 解 决 IEEE 802. 11 原先 使 用 WEP 所 
隐藏 的 安全 问题 。 

很 多 客户 端 和 AP 并 不 支持 WPA 协议 ,而且 TKIP 加 密 仍 不 能 满足 高 端 企业 和 政府 的 
加 密 需 求 ,该 方法 多 用 于 企业 无 线 网 络 部 署 。 
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7. WPA 2 


WPA 2 与 WPA 后 向 兼容 ,支持 更 高 级 的 AES 加 密 , 能 够 更 好 地 解决 无 线 网 络 的 安全 
问题 。 

由 于 部 分 AP 和 大 多 数 移 动 客户 端 不 支持 此 协议 ,尽管 微软 公司 已 经 提供 最 新 的 WPA 2 
补丁 ,但 是 仍 需 要 对 客户 端 逐一 部 署 。 该 方法 适用 于 企业 ,政府 及 SOHO 用 户 。 


8. IEEE 802. 11i 


IEEE 正在 开发 的 新 一 代 的 无 线 标准 ,致力 于 彻底 解决 无 线 网 络 的 安全 问题 ,草案 中 包 
含 加 密 技 术 AES(Advanced Encryption Standard) ,TKIP 和 认证 协议 IEEE 802. 1x。 

尽管 从 理论 上 讲 此 协议 可 以 彻底 解决 无 线 网 络 安全 问题 ,适用 于 所 有 企业 网 络 的 无 线 
部 署 ,但 是 目前 为 止 尚未 有 支持 此 协议 的 产品 问世 。 

综 上 所 述 ,不同 的 无 线 网 络 用户 遭 受 安全 隐患 威胁 的 程度 不 同 , 需 要 的 技术 支持 也 就 有 
所 区 别 。 因 此 ,应 根据 不 同 用 户 的 不 同 需求 ,采用 不 同 的 安全 解决 方案 。 

(1) SOHO 用 户 : 可 采用 隐藏 SSID .MAC 地 址 过 滤 或 WEP 等 方法 进行 简单 防护 。 另 
外 ,如 果 设 备 支 持 ,可 以 采用 WPA-PSK 方式 部 署 ,因为 PSK 方式 相对 比较 简单 。 

(2) SMB 用 户 : 适合 以 上 各 种 安全 措施 ,包括 WPA、WEP ,隐藏 SSID、MAC 地址 过 滤 
甚至 VPN 协议 等 。 

(3) Hot pot 或 Public WLAN: 可 以 采用 Web 认证 和 AP 无 线 客户 两 层 隔离 的 安全 
措施 。 

(4) 大 型 企业 和 政府 : 建议 采用 WPA 2 安全 加 密 方案 ,保证 目前 最 好 的 加 密 效 果 。 

自 无 线 网 络 问世 以 来 ,关于 其 安全 问题 的 讨论 就 不 曾 停止 ,也 就 使 得 对 无 线 网 络 的 态度 
也 各 自 不 同 。 反 对 者 认为 ,无 线 网 络 太 不 安全 ,应 该 尽量 少 用 ;而 支持 者 认为 应 该 大 力 推广 
便捷 .自由 的 无 线 网 络 , 只 要 用 户 按照 加 强 安全 方面 的 防范 即 可 。 在 技术 上 ,各 网 络 设备 厂 
商都 在 不 遗 余力 地 探索 解决 无 线 网 络 安全 隐患 的 方法 ,比如 国内 知名 的 网 络 通信 设备 厂商 
华硕 便 依 托 强大 的 自主 研发 队伍 ,不 断 推陈出新 ,开发 出 适合 各 层 用 户 的 高 安全 无 线 网 络 设 
备 , 让 用 户 在 家 庭 、 企 业 甚至 政府 应 用 方面 都 能 做 到 得 心 应 手 。 


6.7 蓝牙 技术 安全 机 制 


蓝牙 技术 是 一 种 新 的 无 线 通信 技术 ,通信 距离 可 达 10m 左右 。 它 采用 了 跳 频 扩展 技术 
CFHSS) ,在 一 次 连接 中 ,无 线 电 收发 器 按 一 定 的 码 序 列 不 断 地 从 一 个 信道 跳 到 另 一 个 信道 ， 
只 有 收发 双方 是 按 这 个 规律 进行 通信 的 ,而 其 他 的 干扰 不 可 能 按 同 样 的 规律 进行 干扰 。 蓝 
牙 采 用 了 数据 加 密 和 用 户 鉴别 措施 ,蓝牙 设备 使 用 个 人 身份 数字 (PIN) 和 蓝牙 地 址 来 分 辨 
别 的 蓝牙 设备 。 


6.7.1 蓝牙 的 安全 结构 


蓝牙 的 安全 结构 如 图 6. 6 所 示 。 蓝 牙 安 全 管理 器 存储 着 有 关 设 备 和 服务 的 安全 信息 ， 
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安全 管理 器 将 决定 是 否 接收 数据 , 断 开 连接 或 是 否 需要 加 密 和 身份 认证 , 它 还 初始 化 一 个 可 
信任 的 关系 ,以 及 从 用 户 那里 得 到 一 个 PIN 码 。 


User Interface 


i i 个 个 
Application Application Application 本 -~ 二 | 
| 一 -了 General 
| 二 
Entity 
RFCOMM(or other Security 


multiplexing protocoD) 广 -----||-------- 全 | Manager | 
| -| Service 
Database 
一 


Device 


上 = | 
L2CAP Database 
和 =| 


HCI 


Link Manager/Link Controller 


Legend Registration 
广 -一 一 


Query 


图 66 蓝牙 技术 的 安全 体系 结构 


6.7.2 蓝牙 的 安全 等 级 


蓝牙 设备 和 服务 有 几 种 不 同 的 安全 等 级 。 任 何 设备 在 第 一 次 连接 时 都 会 具有 一 个 默认 
的 安全 级 别 。 


1. 设备 信任 级 别 


蓝牙 设备 有 两 种 信任 级 别 , 即 可 信任 和 不 可 信任 。 可 信任 级 别 有 一 个 固定 的 可 信任 关 
系 , 可 以 得 到 大 多 数 服务 。 可 信任 设备 是 预先 得 到 鉴别 的 。 而 不 可 信任 设备 所 得 到 的 服务 
是 有 限 的 , 它 也 可 以 具有 一 个 固定 的 关系 ,但 不 是 可 信任 的 。 一 个 新 连接 的 设备 总 是 被 认为 
是 未 知 的 ,不 可 信任 的 。 


2. 蓝牙 的 安全 模式 


蓝牙 内 置 了 3 种 安全 模式 : 

安全 模式 1: 现 有 的 大 多 数 基于 蓝牙 的 设备 ,不 采用 信息 安全 管理 和 不 执行 安全 保护 及 
处 理 。 

安全 模式 2: 蓝牙 设备 采用 信息 安全 管理 并 执行 安全 保护 和 处 理 ,这 种 安全 机 制 建立 在 
L2CAP 和 它 之 上 的 协议 中 。 

安全 模式 3: 蓝牙 设备 采用 信息 安全 管理 和 执行 安全 保护 及 处 理 , 这 种 安全 机 制 建立 在 
芯片 和 LMP( 链 接管 理 协议 ) 中 。 

鉴于 蓝牙 芯片 的 现状 ,采用 安全 模式 3 将 需要 对 现 有 的 蓝牙 芯片 进行 重新 设计 ,并 且 要 
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增加 和 增强 芯片 的 功能 ,不 利于 降低 芯片 价格 。 目 前 蓝牙 芯片 的 生产 商都 在 考虑 采用 安全 
模式 2。 


3. 服务 的 安全 级 别 


当 建立 一 个 连接 时 ,用 户 有 各 种 不 同 的 安全 级 别 可 选 ,服务 的 安全 级 别 主 要 由 以 下 3 个 
方面 来 保证 : 

(1) 授权 要 求 : 在 授权 之 后 ,访问 权限 只 自动 赋 给 可 信任 设备 或 不 可 信任 设备 。 

(2) 鉴别 要 求 : 在 连接 到 一 个 应 用 之 前 ,远程 设备 必须 被 鉴别 。 

(3) 加 密 要 求 : 在 访问 服务 可 能 发 生 之 前 ,连接 必须 切换 到 加 密 模式 。 

当 处 在 最 低 安 全 级 别 时 ,任何 设备 都 可 得 到 服务 。 当 处 在 最 高 安全 级 别 时 ,服务 需要 授 
权 和 鉴别 ,这 时 可 信任 设备 可 以 访问 服务 ,但 不 可 信任 设备 则 需要 手工 授权 。 


6.7.3 蓝牙 的 密 钥 管理 


在 蓝牙 系统 中 有 4 种 类 型 的 密 钥 以 确保 安全 的 传输 。 其 中 最 重要 的 密 钥 是 链 路 密 钥 ， 
用 于 两 个 蓝牙 设备 之 间 相 互 鉴别 。 


1. 链 路 密 钥 


有 4 种 链 路 密 钥 满足 不 同 的 应 用 ,这 4 种 链 路 密 钥 都 是 128 位 的 随机 数 , 它 们 分 别 是 : 

(1) 单元 密 钥 Ka: Ka 在 蓝牙 设备 安装 时 由 单元 A 产生 。 它 的 存储 只 需要 很 少 的 内 
存 , 经 常用 在 当 设备 有 少量 内 存 或 此 蓝牙 设备 可 被 一 个 大 的 用 户 组 访问 的 场合 。 

(2) 联合 密 钥 Kas : Ke 由 单元 A 和 B 产生 。 每 一 对 设备 有 各 自 的 联合 密 钥 ,在 需要 更 
高 的 安全 性 时 使 用 。 

(3) 主 密 钥 Kwowe : 此 密 钥 在 主 设备 需 同时 向 多 个 从 设备 传输 数据 时 使 用 ,在 本 次 会 话 
过 程 中 它 将 临时 替代 原 有 的 链 路 密 钥 。 

(4) 初始 化 密 钥 Kis : 在 初始 化 过 程 中 使 用 ,用 于 保护 初始 化 参数 的 传输 。 


2. 加 密 密 钥 


加 密 密 钥 由 当前 的 链 路 密 钥 推 算 而 来 。 每 次 需要 加 密 密 钥 时 它 会 自动 更 换 。 将 加 密 密 
钥 与 鉴 权 密 钥 分 离开 的 原因 是 可 以 使 用 较 短 的 加 密 密 钥 而 不 减弱 鉴 权 过 程 的 安全 性。 


3. PIN 码 


这 是 一 个 由 用 户 选 择 或 固定 的 数字 ,长度 可 以 为 1 一 16B, 通 常 为 4 位 十 进 制 数 。 用 户 
在 需要 时 可 以 改变 它 , 这 样 就 增加 了 系统 的 安全 性 。 同 时 在 两 个 设备 输入 PIN 比 其 中 一 个 
使 用 固定 的 PIN 要 安全 得 多 。 


4. 密 钥 的 生成 与 初始 化 


密 钥 的 交换 发 生 在 初始 化 过 程 中 ,在 两 个 需要 进行 鉴 权 和 加 密 的 设备 上 分 别 完成 。 初 
始 化 过 程 包括 以 下 步骤 : 
(1) 生成 初始 化 密 钥 。 
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(2) 鉴 权 。 

(3) 生成 链 路 密 钥 。 

(4) 交换 链 路 密 钥 。 

(5) 两 个 设备 各 自生 成 加 密 密 钥 。 

在 这 些 过 程 之 后 , 链 路 或 者 建立 成 功 或 者 失败 。 


6.7.4 ”蓝牙 的 鉴 权 方案 


蓝牙 的 鉴 权 方案 是 询问 与 响应 策略 。 协 议 检 查 双 方 是 否 有 相同 的 密 钥 ,如 果 有 则 鉴 权 
通过 。 在 鉴 权 过 程 中 ,生成 一 个 ACO 值 并 储存 在 两 个 设备 中 ,用 于 以 后 加 密 密 钥 的 生成 。 

鉴 权 方案 按 以 下 步骤 进行 : 

(1) 被 鉴 权 设备 A 向 鉴 权 设备 忆 发 送 一 个 随机 数 供 鉴 权 。 

(2) 利用 El 鉴 权 函数 ,使 用 随机 数 、 鉴 权 设备 B 当 蓝牙 地 址 和 当前 链 路 密 钥 匹 配 时 得 
出 响应 。 

(3) 鉴 权 设备 B 将 响应 发 往 请 求 被 鉴 权 设备 A ,设备 A 而 后 判断 响应 是 否 匹 配 。 

哪个 设备 将 被 鉴 权 由 应 用 来 决定 ,这 意味 着 被 鉴 权 设备 不 一 定 是 主 设备 ,有 一 些 应 用 只 
需要 单 向 的 鉴 权 而 不 需要 双向 鉴 权 。 

如 果 鉴 权 失败 ,必须 过 一 段 时 间 ( 即 等 待 时 间 ) 再 进行 新 的 鉴 权 ,这 段 时 间 可 因 前 次 鉴 权 
结果 而 增加 或 减少 。 


6.7.5 蓝牙 的 加 密 体系 


蓝牙 加 密 体系 系统 地 对 每 个 数据 包 的 净 荷 进行 加 密 。 这 由 流 密码 E0 完成 ,对 每 个 净 荷 
E0 都 将 被 重新 同步 。E0 流 密码 包含 3 个 部 分 : 第 一 部 分 完成 初始 化 工作 ,生成 净 荷 密 钥 ; 
第 二 部 分 密 钥 流 比特 ;第 三 部 分 完成 加 密 与 解密 。 净 荷 密 钥 的 生成 非常 简单 , 它 将 输入 的 比 
特 按 一 定 顺 序 组 合 , 而 后 将 它们 移 位 至 流 密 钥 生成 器 的 四 线性 反馈 移 位 寄存 器 中 。 

有 几 种 加 密 模式 可 供 使 用 (取决 于 设备 使 用 半 永 久 链 路 密 钥 还 是 主 密 钥 )。 如 果 使 用 了 
个 体 密 钥 或 者 联合 密 钥 ,广播 的 数据 流 将 不 进行 加 密 。 点 对 点 的 数据 流 可 以 加 密 , 也 可 以 不 
加 密 。 如 果 使 用 了 主 密 钥 , 则 有 3 种 可 能 的 模式 : 

(1) 加 密 模式 1: 不 对 任何 数据 流 进行 加 密 。 

(2) 加 密 模式 2: 点 对 多 点 (广播 ) 数 据 流 不 加 密 , 点 对 点 数据 流 用 主 密 钥 进 行 加 密 。 

(3) 加 密 模式 3: 所 有 数据 流 均 用 主 密 钥 进行 加 密 。 

由 于 加 密 密 钥 的 长 度 从 8 位 到 128 位 不 等 ,两 设备 间 使 用 的 加 密 密 钥 长 度 必须 经 协商 
确定 , 任 一 种 设备 ( 主 设备 和 从 设备 ) 可 以 提议 一 个 长 度 或 拒绝 另 一 方 的 提议 。 

在 协商 中 也 定义 了 一 些 界限 。 每 个 设备 都 有 一 个 参数 定义 了 所 允许 的 密 钥 长 度 的 最 大 
值 。 同 样 ,在 每 个 应 用 中 都 定义 了 所 能 接受 的 密 钥 长 度 的 最 小 值 ,如 果 长 度 协商 的 任 一 方 不 
满足 这 个 最 小 尺寸 ,应 用 将 放弃 协商 .加密 将 不 被 使 用 。 由 于 可 能 会 有 一 些 怀 有 恶意 的 设备 
企图 以 较 低 的 加 密 等 级 进行 一 些 有 害 的 行为 ,这 种 机 制 是 必需 的 。 
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6.7.6 蓝牙 的 安全 局 限 


尽管 前 面 分 析 了 蓝牙 系统 的 内 在 的 安全 机 制 ,但 是 ,蓝牙 技术 的 安全 性 并 不 总 是 令 人 满 
意 。 例 如 ,就 鉴 权 而 言 , 它 只 是 针对 设备 ,而 不 对 用 户 。 如 果 需 要 此 特性 , 则 不 得 不 在 应 用 的 
安全 层次 上 来 完成 。 

目前 蓝牙 系统 仅 在 建立 连接 时 允许 访问 控制 ,这 种 访问 控制 是 不 对 称 的 ,一 旦 建立 一 
连接 ,数据 的 流动 原则 上 是 双向 的 ,在 目前 蓝牙 技术 体系 结构 下 数据 单 向 流动 是 不 可 能 的 。 

1. 鉴 权 和 加 密 


鉴 权 和 加 密 是 基于 双方 共享 链 路 密 钥 的 前 提 的 ,在 该 过 程 中 使 用 的 其 他 信息 也 是 公共 
的 ,然而 这 将 导致 一 个 基本 的 问题 ,如 图 6.7 所 示 。 
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(a) 步骤 (D) (b) 步骤 (2) (c) 步骤 (3) 
图 67 链 路 密 钥 问 题 


(1) 设备 A 与 设备 B 使 用 A 的 个 体 密 钥 为 链 路 密 钥 。 

(2) 然后 ,或 者 同时 ,设备 C 使 用 A 的 个 体 密 钥 为 链 路 密 钥 与 A 通信 。 

(3) 设备 BB 使 用 A 的 密 钥 解 密 A 与 C 的 通信 信息 。 

如 上 所 述 , 设 备 B 早 就 得 到 设备 A 的 个 体 密 钥 , 它 可 以 利用 这 个 密 钥 以 及 一 个 伪 蓝 牙 
地 址 计算 出 加 密 密 钥 ,从 而 监听 数据 流 。 它 也 可 以 以 设备 C 的 身份 通过 设备 A 的 鉴 权 ,或 
者 以 设备 A 的 身份 通过 设备 C 的 鉴 权 。 


2. 安全 技术 方案 


针对 蓝牙 系统 内 部 只 支持 设备 的 鉴 权 ,而 不 对 用 户 进行 鉴 权 ,下 面 提 出 一 种 RAS 算法 
可 以 有 效 地 解决 用 户 的 身份 认证 和 密 钥 的 确立 问题 。 

A 和 B 是 蓝牙 无 线 通 信 的 用 户 ,A 和 也 在 同一 个 CA( 电 子 证 书 机 构 ) 拿 到 自己 的 电子 
证 书 ,其 中 包括 自己 的 公 钥 和 公 钥 拥有 者 的 信息 。 它 们 也 拥有 CA 的 证 书 。 

A 和 BB 通信 时 的 步骤 如 下 : 

(1) A 将 自己 的 证 书 送 给 B,B 验证 A 的 证 书 。 

(2) 确认 A 的 证 书后 ,B 将 自己 的 证 书 送 给 A。 

(3) A 确认 B 的 证 书后 .用 B 的 公 钥 加 密 。 一 个 用 于 数据 加 密 的 对 称 密 钥 , 它 的 运算 
如 下 : 

C= (key)PB mod N 

其 中 N= 二 pq,p 和 g 是 两 个 大 的 素数 ,N 是 模 ,PB 是 公 钥 。 

(4) B 收 到 CC 之 后 ,做 以 下 运算 : 
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key 一 CXRB mod N 

其 中 RB 是 B 的 密 钥 。 

(5) 在 第 (4) 步 结束 后 ,双方 都 拥有 key ,双方 的 通信 就 可 以 用 key 来 加 密 : 

C 二 (MD)key, 由 于 只 有 A 和 B 知道 key, 所 以 加 密 后 的 C 只 有 A 和 B 可 以 解密 。 

蓝牙 系统 提供 了 几 种 内 在 的 安全 机 制 ,从 而 在 一 个 比较 广泛 的 范围 内 保证 了 蓝牙 系统 
的 安全 性 。 然 而 , 随 着 蓝牙 技术 的 逐步 成 功 , 它 将 扩展 为 更 高 的 无 线 通信 标准 ,而 成 为 无 线 
局 域 网 标准 的 竞争 者 ,就 必须 完善 原 有 的 安全 性 体系 或 重建 新 的 安全 性 体系 。 总 之 ,蓝牙 技 
术 是 无 线 数据 通信 和 最 为 重大 的 进展 之 一 ,对 蓝牙 安全 机 制 的 研究 和 应 用 具有 重要 的 意义 。 


6.8 超 宽 带 物 联网 信息 安全 策略 


超 宽 带 (UWB) 技 术 起 源 于 20 世纪 50 年 代 末 ,此 前 主要 作为 军事 技术 在 雷达 探测 和 定 
位 等 应 用 领域 中 使 用 。 美 国联 邦 通信 委员 会 (FCC) 于 2002 年 2 月 准许 该 技术 进入 民用 领 
域 , 用 户 不 必 进 行 申 请 即 可 使 用 ,FCC 已 将 3. 1GHz 一 10. 6GHz 频带 向 UWB 通信 开放 ， 
IEEE 也 专门 制订 了 IEEE 802. 15. 3 系列 标准 来 规范 UWB 技术 的 应 用 。 


6.8.1 UWB 超 宽带 的 应 用 优势 

UWB 作为 一 种 重要 的 超 宽 带 近 距离 通信 技术 ,在 需要 传输 宽带 感知 信息 的 物 联 网 应 用 
领域 具有 广阔 的 应 用 前 景 。 与 现 有 无 线 通 信和 技术 相 比 ,UWB 通信 技术 有 以 下 主要 特点 。 

1. 低 成 本 


UWB 产品 不 再 需要 复杂 的 射频 转换 电路 和 调制 电路 , 它 只 需要 一 种 数字 方式 来 产生 脉 
冲 , 并 对 脉冲 进行 数字 调制 ,而 这 些 电 路 都 可 以 被 集成 到 一 个 蕊 片上。 因此 ,其 收发 电路 的 
成 本 很 低 , 在 集成 琵 片 上 加 上 时 间 基 和 一 个 微 控制 器 ,就 可 构成 一 部 超 宽 带 通 信 设 备 。 


2. 传输 速率 高 


为 确保 提供 高 质量 的 多 媒体 业务 的 无 线 网 络 , 其 信息 速率 不 能 低 于 50Mb/s。 在 民用 商 
品 中 ,一 般 要 求 UWB 信号 的 传输 范围 为 10m 以 内 ,再 根据 经 过 修改 的 信道 容量 公式 ,其 传 
输 速 率 可 达 500Mb/s, 是 实现 无 线 个 域 网 的 一 种 理想 调制 技术 。UWB 以 非常 宽 的 频率 来 换 
取 高 速 的 数据 传输 ,并 且 不 单独 占用 现在 的 频率 资源 ,而 是 共享 其 他 无 线 技术 使 用 的 频带 。 


3. 空间 容量 大 


UWB 无 线 通信 技术 的 单位 区 域内 通信 容量 可 超过 每 平方 米 1000kb/s, 而 IEEE 802. 11b 
仅 为 每 平方 米 1kb/s, 蓝 牙 技术 为 每 平方 米 30kb/s,IEEE 802. 11a 也 只 有 每 平方 米 83kb/s， 
可 见 , 现 有 的 无 线 技术 标准 的 空间 容量 都 远 低 于 UWB 技术 。 随 着 技术 的 不 断 完善 ,UWB 
系统 的 通信 速率 ,传输 距离 及 空间 容量 还 将 不 断 提高 。 
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4. 低 功 耗 


UWB 使 用 简单 的 传输 方式 发 出 的 是 瞬间 尖 波 形 电波 , 即 所 谓 的 脉冲 电波 一 一 直接 发 送 
0 或 1 脉冲 信号 出 去 ,脉冲 持续 时 间 很 短 , 仅 为 0.2 一 1. 5ns, 由 于 只 在 需要 时 发 送出 脉冲 电 
波 , 因 此 UWB 系统 的 功 耗 很 低 , 仅 为 1 一 4mW, 民 用 的 UWB 设备 功率 一 般 是 传统 移动 电话 
或 者 无 线 局 域 网 所 需 功 率 的 1/10 一 1/100 左右 ,大 大 延长 了 电源 的 供电 时 间 。UWB 设备 在 
电池 寿命 和 电磁 辐射 上 相对 于 传统 无 线 设备 有 着 很 大 的 优越 性 。 


6.8.2 UWB 超 宽带 面临 的 信息 安全 威胁 


由 于 UWB 网 络 的 独特 特征 ,致使 网 络 非常 脆弱 ,更 易 受 到 各 种 安全 威胁 和 攻击 。 而 传 
统 加 密 和 安全 认证 机 制 等 安全 技术 虽 能 在 一 定 程度 上 避免 UWB 网 络 中 的 人 侵 ,但 是 面临 
的 信息 安全 形势 依旧 严峻 。 


1. 拒绝 服务 攻击 


拒绝 服务 攻击 是 使 节点 无 法 对 其 他 合法 节点 提供 所 需 正常 服务 的 攻击 。 在 无 线 通 信 
中 ,攻击 者 的 攻击 目标 可 以 是 任意 的 移动 节点 , 且 攻 击 可 以 来 自 各 个 方向 ,拒绝 服务 攻击 可 
以 发 生 在 UWB 网 络 的 各 个 层 。 在 物理 层 和 媒体 接 入 层 , 攻 击 者 通过 无 线 干扰 来 拥塞 通信 
信道 ;在 网 络 层 ,攻击 者 可 以 破坏 路 由 信息 ,使 网 络 无 法 互 连 ;在 更 高 层 ,攻击 者 可 以 攻击 各 
种 高 层 服务 。 拒 绝 服 务 攻击 的 后 果 取 决 于 UWB 网 络 的 应 用 环境 ,在 UWB 网 络 中 ,使 中 心 
资源 溢出 的 拒绝 服务 攻击 威胁 其 小 ,UWB 网 络 各 个 节点 相互 依赖 的 特点 使 得 分 布 式 的 拒绝 
服务 攻击 威胁 更 为 严重 。 如 果 攻 击 者 有 足够 的 计算 能 力 和 和 运行 带宽 , 较 小 的 UWB 网 络 可 
能 非常 容易 阻塞 ,甚至 崩溃 。 在 UWB 网 络 中 ,剥夺 睡眠 攻击 是 一 种 特殊 的 拒绝 服务 攻击 ， 
攻击 者 通过 合法 方式 与 节点 交互 ,其 唯一 目的 就 是 消耗 节点 的 有 限 电 池 能 源 , 使 节点 无 法 正 
常 工作 。 


2. 密 钥 泄露 


在 传统 公 钥 密码 体制 中 ,用 户 采 用 加 密 、 数 字 签名 等 来 实现 信息 的 机 密 性 和 完整 性 等 安 
全 服务 。 但 这 需要 一 个 信任 的 认证 中 心 ,而 UWB 网 络 不 允许 存在 单一 的 认证 中 心 ,否则 单 
个 认证 中 心 崩溃 将 造成 整个 网 络 无 法 获得 认证 ,而 且 被 攻破 的 认证 中 心 的 私 钥 可 能 会 泄露 
给 攻击 者 ,致使 网 络 完全 失去 安全 性 。 


3. 假冒 攻击 


假冒 攻击 在 UWB 网 络 的 各 个 层次 都 可 以 进行 。 它 可 以 威胁 到 UWB 网 络 的 所 有 结构 
层 。 如 果 没 有 适当 的 身份 认证 ,恶意 节点 就 可 以 伪装 成 其 他 信任 的 节点 ,从 而 破坏 整个 网 络 
的 正常 运行 ,Sybil 攻击 就 是 这 样 的 一 种 攻击 。 如 果 没 有 适当 的 用 户 验证 的 支持 ,在 网 络 层 ， 
泄密 节点 就 可 以 冒充 其 他 被 信任 节点 攻击 网 络 ( 如 加 入 网 络 或 发 送 虚 假 的 路 由 信息 ) 而 不 会 
暴露 ;在 网 络 管理 范围 内 ,攻击 者 可 作为 超级 用 户 获得 对 配置 系统 的 访问 ;在 服务 层次 ,一 个 
恶意 用 户 甚至 不 需要 适当 的 证 书 就 可 以 拥有 经 过 授权 的 公 钥 。 成 功 的 假冒 攻击 所 造成 的 结 
果 非 常 严 重 。 一 个 恶意 用 户 可 以 假冒 任何 一 个 友好 节点 ,向 其 他 节点 发 布 虚假 的 命令 或 状 
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态 信息 ,并 对 其 他 节点 或 服务 造成 永久 性 的 毁坏 。 同 时 UWB 网 络 的 这 些 安 全 缺陷 也 导致 
在 传统 网 络 中 能 够 较 好 工作 的 安全 机 制 ,如 加 密 和 认证 机 制 、 防 火 墙 以 及 网 络 安全 方案 ,不 
能 有 效 适用 于 UWB 网 络 。 


4. 路 由 攻击 


路 由 攻击 包括 内 部 攻击 和 外 部 攻击 。 内 部 攻击 源 于 网 络 内 部 ,这 种 攻击 对 路 由 信息 将 
造成 很 大 的 威胁 。 外 部 攻击 中 除了 常规 的 路 由 表 洪 出 攻击 等 外 部 攻击 外 ,还 包括 隧道 
(tunnel) 攻 击 、 睡 眠 剥夺 攻击 和 节点 自私 性 攻击 等 针对 移动 自 组 网 的 独特 攻击 。 


6.8.3 超 宽 带 安全 性 规范 


与 传统 有 线 网 络 相 比 , 无 线 网 络 的 安全 问题 往往 是 出 乎 预料 的 ,而 分 布 式 无 线 网 络 更 由 
于 各 种 各 样 的 应 用 和 使 用 模式 而 使 安全 问题 更 加 复杂 。 


1. 安全 性 要 求 


针对 UWB 应 用 过 程 中 容易 发 生 的 信息 安全 问题 ,国际 标准 化 组 织 (ISO) 接 受 了 由 
WiMedia 联盟 提出 的 (高 速率 超 宽带 通信 的 物 里 层 和 媒体 接 入 控制 标准 》, 即 ECMA-368 
(ISOVIEC26907) , 它 规范 了 相应 的 安全 性 要 求 。 

1) 安全 级 别 

ECMA-368(ISO/VIEC26907) 标 准 定义 了 两 种 安全 级 别 : 无 安全 和 强 安全 保护 。 安 全 保 
护 包括 数据 加 密 、 消 息 认证 和 重播 攻击 防护 ;安全 帧 提供 对 数据 帧 .选择 帧 和 控制 帧 的 保护 。 

2) 安全 模式 

安全 模式 指 是 否 一 个 设备 被 允许 或 者 需要 建立 与 其 他 设备 进行 数据 通信 的 安全 关系 。 
ECMA-368(ISO/IEC26907) 标 准 定义 了 3 种 安全 模式 ,用 于 控制 设备 间 的 通信 。 两 台 设 备 
通过 四 次 握手 协议 来 建立 安全 关系 ,一旦 两 台 设 备 建立 了 安全 关系 ,它们 将 使 用 安全 帧 来 作 
为 帧 传输 ,如 果 接收 方 需要 接受 安全 帧 ,而 发 送 方 无 安全 帧 ,那么 接收 方 将 丢弃 该 帧 。 

安全 模式 0 定义 了 数据 传输 时 使 用 无 安全 帧 的 通信 方式 ,并 且 与 其 他 设备 建立 无 安全 
关系 的 通信 方式 。 在 该 模式 下 ,如 果 接 收 到 安全 帧 ,MAC 层 将 直接 丢弃 该 帧 。 

安全 模式 1 定义 了 数据 传输 时 与 安全 模式 0 下 的 设备 进行 数据 通信 ,或 者 与 未 建立 安 
全 关系 的 处 于 安全 模式 1 下 的 设备 进行 数据 通信 ,或 者 在 特定 帧 的 控制 下 与 处 于 安全 模式 1 
下 并 建立 安全 关系 的 设备 进行 通信 ;否则 将 丢弃 数据 。 

安全 模式 2 不 与 其 他 安全 模式 的 设备 进行 通信 ,将 通过 四 次 握手 协议 建立 安全 关系 。 

3) 握手 协议 

四 次 握手 协议 使 得 两 台 具 有 共享 主 密 钥 的 设备 进行 相互 认证 ,同时 产生 PTK (Pair- 
wise Transient Key) 来 加 密 特定 的 帧 。 

4) 密 钥 传输 

在 成 功 地 四 次 握手 并 建立 安全 关系 后 ,两 台 设 备 开 始 分 发 各 自 的 GTK (Group 
Transient Key) 。GTK 用 于 组 播 通 信 时 对 传输 数据 的 加 密 。 每 个 GTK 的 分 发 是 通过 四 次 
握手 中 产生 的 PTK 进行 加 密 后 再 传送 。 
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2. 信息 接收 与 验证 
在 信息 接收 过 程 中 ,接收 帧 时 ,MAC 子 层 信息 处 理 流 程 如 图 6. 8 所 示 。 
验证 FCS 失败 
1 成 功 a 
验证 MAC 头 的 安全 位 
1 成 功 
验证 TKID 失败 
1 成 功 
验证 MIC 2 ~| 丢 帧 
| 成功 
检查 由 重 发 | 帧 重复 | 
站 成 功 则 更 新 重 发 计数 器 
允 理 央 已 接收 
解密 帧 


图 68 信息 接收 过 程 中 MAC 子 层 信息 处 理 流程 


帧 重 发 保护 接收 拥有 有 效 的 FCS 和 MIC 的 安全 帧 时 ,信息 接收 流程 为 : 从 接收 帧 中 提 
取出 SFEN ,将 其 与 此 帧 所 用 的 临时 密 钥 的 重 发 计数 器 的 值 作 比 较 。 

如 果 前 者 小 于 等 于 后 者 ,接收 者 的 MAC 子 层 丢弃 此 帧 。MLME 提交 MLME- 
SECURITY-VIOLATION , 它 的 ViolationCode 设 为 REPLAYED_RAME。 

否则 ,接收 者 将 接收 到 的 SFN 赋 给 相应 的 重 发 计数 器 。 不 过 ,使 用 此 SFN 更 新 重 发 计 
数 器 前 ,接收 者 应 确保 此 帧 已 通过 FCS 验证 、 重 发 预防 和 MIC 确认 。 


3. MAC 层 的 信息 安全 传输 机 制 


在 UWB 系 统 中 ,MAC 层 的 信息 安全 传输 功能 主要 包括 以 下 几 个 方面 ; 

(1) 通过 物理 层 , 在 一 个 无 线 频道 上 与 对 等 设备 进行 通信 。 

(2) 采用 基于 动态 配置 (reservation-based) 的 分 布 式 信道 访问 方式 。 

(3) 基于 竞争 的 信道 访问 方式 。 

(4) 采用 同步 的 方式 进行 协调 应 用 。 

(5) 提供 在 设备 移动 和 干扰 环境 下 的 有 效 解 决 方案 。 

(6) 以 调度 帧 传送 和 接收 的 方式 来 控制 设备 功 耗 。 

(7) 提供 安全 的 数据 认证 和 加 密 方式 。 

(8) 提供 设备 间距 离 计算 方案 。 

UWB 的 MAC 层 是 一 种 完全 分 布 式 的 结构 ,没有 一 台 设 备 是 处 于 中 心 控 制 的 角色 。 同 
时 所 有 的 设备 都 具有 上 述 8 种 功能 ,并 且 根 据 应 用 的 不 同 可 以 选择 性 地 使 用 这 8 种 功能 。 
在 分 布 式 环境 中 ,设备 间 通 过 信和 标 帧 的 交换 来 识别 。 设 备 的 发 现 、 网 络 结构 的 动态 重组 和 设 
备 移动 性 的 支持 都 是 通过 进行 周期 性 的 信 标 传输 来 实现 的 。 
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6.8.4 超 宽 带 拒 绝 服务 攻击 防御 策略 


最 初 ,拒绝 服务 攻击 是 针对 计算 机 网 络 系统 的 , 随 着 通信 技术 的 发 展 , 现 在 已 经 有 针对 
所 有 通信 系统 的 发 展 趋势 。 由 于 UWB 是 一 种 开放 的 分 布 式 网 络 , 没 有 中 央 控制 ,所 以 基于 
UWB 的 物 联网 在 运营 过 程 中 受到 拒绝 服务 攻击 的 概率 就 大 大 增加 了 。 


1. UWB 拒绝 服务 攻击 原理 


拒绝 服务 是 指 网 络 信息 系统 由 于 某 种 原因 遭 到 不 同 程度 的 破坏 ,使 得 系统 资源 的 可 用 
性 降低 甚至 不 可 用 ,从 而 导致 不 能 为 授权 用 户 提供 正常 的 服务 。 拒 绝 服务 通常 是 由 配置 错 
误 、 软 件 弱 点 ,资源 毁坏 ,资源 耗 尽 和 资源 过 载 等 因素 引起 的 。 其 基本 原理 是 利用 工具 软件 ， 
集中 在 某 一 时 间 段 内 向 目标 机 发 送 大 量 的 垃圾 信息 ,或 


eh 是 发 送 超过 系统 接收 范围 的 信息 ,使 对 方 出 现 网 络 堵塞 
或 负载 过 重 等 状况 ,造成 目标 系统 拒绝 服务 。 由 于 在 实 
入 人 全 | 际 的 网 络 中 ,由 于 网 络 规模 和 速度 的 限制 ,攻击 者 往往 难 
于 以 在 短 时 间 内 发 送 过 多 的 请 求 ,因而 多 采用 分 布 式 拒绝 
在 太太 主机 下 市 启 | 服务 攻击 的 方式 。 在 这 种 攻击 中 ,为 提高 攻击 的 成 功率 ， 
(客户 进程 或 守护 进程 攻击 者 需要 控制 大 量 的 被 入 侵 主机 。 为 此 攻击 者 一 般 会 
采用 一 些 远程 控制 软件 ,以 便 在 自己 的 客户 端 操纵 整个 

利用 入 侵 主 机 继续 进行 扫描 和 攻击 | 攻击 过 程 ,如 图 6.9 所 示 。 


图 69 UWB 拒 绝 服务 攻击 流程 需要 注意 的 是 ,在 利用 入 侵 主 机 继续 进行 扫描 和 攻 
击 的 过 程 中 ,采用 分 布 式 拒绝 服务 的 客户 端 通常 采用 IP 
欺骗 技术 ,以 逃避 追查 。 


2. UWB 网 络 中 拒绝 服务 攻击 的 类 型 


在 UWB 网 络 中 ,拒绝 服务 攻击 主要 有 两 种 类 型 : MAC 层 攻击 和 网 络 层 攻 击 。 

在 MAC 层 实施 的 拒绝 服务 攻击 ,实施 这 类 攻击 主要 有 两 种 方法 ,一 是 拥塞 UWB 网 络 
中 的 目标 节点 设备 使 用 的 无 线 UWB 信道 ,致使 UWB 网 络 中 的 目标 节点 设备 不 可 用 ;二 是 
将 UWB 网 络 中 的 目标 节点 设备 作为 网 桥 ,让 其 不 停 地 中 继 转发 无 效 的 数据 帧 ,以 耗 尽 
UWB 网 络 中 的 目标 节点 设备 的 可 用 资源 。 

在 UWB 网 络 层 实 施 的 攻击 也 称 为 UWB 路 由 攻击 ,其 主要 攻击 方法 有 以 下 几 种 : 

(1) UWB 网 络 的 多 个 节点 通过 与 UWB 网 络 中 的 被 攻击 目标 节点 设备 建立 大 量 的 无 
效 TCP 连接 来 消耗 目标 节点 设备 的 TCP 资源 ,致使 正常 的 连接 不 能 进入 ,从 而 降低 甚至 耗 
尽 系统 的 资源 。 

(2) UWB 网 络 的 多 个 节点 同时 向 UWB 网 络 中 的 目标 节点 设备 发 送 大 量 伪造 的 路 由 
更 新 数据 包 , 致 使 目标 节点 设备 忙于 频繁 的 无 效 路 由 更 新 ,以 此 恶化 系统 的 性 能 。 

(3) 通过 IP 地 址 欺骗 技术 ,攻击 节点 通过 向 路 由 器 的 广播 地 址 发 送 虚假 信息 ,使 得 路 由 
器 所 在 网 络 上 的 每 台 设 备 向 UWB 网 络 中 的 目标 节点 设备 回应 该 信息 ,从 而 降低 系统 的 
性 能 。 

(4) 修改 IP 数据 包头 部 的 TTL 域 ,使 得 数据 包 无 法 到 达 UWB 网 络 中 的 目标 节点 
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设备 。 
3. UWB 网 络 中 拒绝 服务 攻击 的 防御 措施 


针对 UWB 网 络 中 基于 数据 报 文 的 拒绝 服务 攻击 ,可 以 采用 路 由 路 径 删除 措施 来 防止 
UWB 洪 泛 拒绝 服务 攻击 。 

当 攻击 者 发 动 基于 数据 报 文 的 UWB 洪 泛 攻 击 行为 时 ,发 送 大量 攻 击 数据 报 文 至 所 有 
UWB 网 络 中 的 节点 。 作 为 邻居 节点 和 沿途 节点 是 难以 判别 攻击 行为 的 ,因为 节点 无 法 判断 
数据 报 文 的 用 途 。 但 作为 数据 报 文 的 目标 节点 ,就 比较 容易 判定 了 。 当 目标 节点 发 现 收 到 
的 报 文 都 是 无 用 的 时 候 , 它 就 可 以 认定 源 节点 为 攻击 者 。 目 标 节点 可 通过 路 径 删 除 的 方法 
来 阻止 基于 数据 报 文 的 UWB 洪 泛 攻 击 行 为 。 

具体 实施 步骤 是 : 当 UWB 网 络 中 的 目标 节点 发 现 源 节点 是 攻击 者 时 ,由 目标 节点 生成 
一 个 路 由 请 求 (RRER) 报 文 , 该 报 文中 标明 目标 节点 不 可 达 , 目 标 节点 将 这 个 RRER 报 文 发 
送 到 攻击 者 。 当 RRER 到 达 攻 击 者 时 , 它 就 会 认为 这 条 路 由 已 经 中 断 , 从 而 将 这 条 路 由 从 本 
节点 路 由 表 中 删除 ,这样 它 就 无 法 继续 发 送 攻击 报 文 了 。 如 果 它 还 要 发 送 ,就 必须 重新 建立 
路 由 。 此 时 ,目标 节点 已 经 识别 该 节点 为 攻击 者 ,对 它 发 送 的 RREQ 报 文 不 回答 RREP ,这 
样 就 无 法 重新 建立 路 由 。 通 过 这 种 方式 ,只 要 被 攻击 过 的 节点 都 会 拒绝 与 攻击 者 建立 路 由 。 
如 果 攻 击 者 不 断 发 动 基于 数据 报 文 的 UWB 拒绝 服务 攻击 ,拒绝 与 其 建立 路 由 的 节点 就 会 
越 来 越 多 ,最 终 所 有 节点 都 拒绝 与 其 建立 路 由 ,攻击 者 就 会 被 隔绝 于 UWB 网 络 之 外 ,从 而 
阻止 了 基于 数据 报 文 的 UWB 拒绝 服务 攻击 。 

随 着 物 联 网 应 用 领域 的 不 断 拓展 ,对 于 物 联网 末端 感知 信息 的 需求 会 不 断 增加 ,在 物 联 
网 末端 的 信息 感知 网 络 中 应 用 UWB 技术 具有 越 来 越 重 要 的 意义 。 当 前 对 于 UWB 应 用 过 
程 中 的 信息 安全 机 制 虽然 有 一 定 的 研究 ,但 是 基本 处 于 初级 阶段 ,还 需要 针对 物 联 网 的 运营 
环境 和 面临 的 新 型 信息 安全 威胁 进行 更 加 深入 的 研究 ,以 满足 物 联 网 产业 日 新 月 异 的 发 展 


6.9 物 联 网 终端 安全 


物 联 网 终端 是 物 联 网 中 连接 传 感 网 络 层 和 传输 网 络 层 , 实 现 采集 数据 及 向 网 络 层 发 送 
数据 的 设备 。 它 担负 着 数据 采集 .初步 处 理 . 加 密 和 传输 等 多 种 功能 。 


6.9.1 物 联网 终端 


1. 物 联 网 终端 的 基本 原理 及 作用 


1) 原理 

物 联 网 终端 基本 由 外 围 感知 ( 传 感 ) 接 口 ,中央 处 理 模 块 和 外 部 通信 接口 3 个 部 分 组 成 ， 
通过 外 围 感知 接口 与 传 感 设备 连接 .如 RFID 读 卡 器 、 红 外 感应 器 和 环境 传感器 等 ,对 这 些 
传 感 设备 的 数据 进行 读 取 并 通过 中 央 处 理 模 块 处 理 后 ,按照 网 络 协议 ,通过 外 部 通信 接口 ， 
如 GPRS 模块 ` 以 太 网 接口 或 WiFi 等 方式 发 送 到 以 太 网 的 指定 中 心 处 理 平台 。 


153 


NS 
BR 


SS 


SS 


KK 


物 联 网 安全 导论 


2) 作用 

物 联 网 终端 属于 传 感 网 络 层 和 传输 网 络 层 的 中 间 设 备 , 也 是 物 联网 的 关键 设备 ,通过 它 
的 转换 和 采集 ,才能 将 各 种 外 部 感知 数据 加 以 汇集 和 处 理 , 并 将 数据 通过 各 种 网 络 接口 方式 
传输 到 互联 网 中 。 如 果 没 有 它 的 存在 , 传 感 数 据 将 无 法 送 到 指定 位 置 ,“ 物 ”的 联网 将 不 复 
存在 。 


2. 物 联网 终端 的 分 类 


1) 从 行业 应 用 分 

物 联 网 终端 从 行业 应 用 角度 来 划分 ,主要 包括 工业 设备 检测 终端 .设施 农业 检测 终端 、 
物流 RFID 识别 终端 .电力 系统 检测 终端 和 安防 视频 监测 终端 等 。 下 面 就 几 个 常用 行业 介 
绍 有 关 终 端的 主要 特点 。 

(1) 工业 设备 检测 终端 。 

该 类 终端 主要 安装 在 工厂 的 大 型 设备 上 或 工矿 企业 的 大 型 运动 机 械 上 ,用 来 采集 位 移 
传感器 .位 置 传感器 (GPS) ,震动 传感器 \、 液 位 传感器 、 压 力 传感器 和 温度 传感器 等 数据 , 通 
过 终端 的 有 线 网 络 或 无 线 网 络 接 口 发 送 到 中 心 处 理 平台 进行 数据 的 汇总 和 处 理 ,实现 对 工 
厂 设备 运行 状态 的 及 时 跟踪 和 大 型 机 械 的 状态 确认 ,达到 安全 生产 的 目的 。 抗 电磁 干扰 和 
防暴 性 是 此 类 终端 考虑 的 重点 。 

(2) 设施 农业 检测 终端 。 

该 终端 一 般 被 安放 在 设施 农业 的 温室 /大 棚 中 ,主要 采集 空气 温 湿度 传感器 ,土壤 温度 
传感器 .土壤 水 分 传感器 、 光 照 传感器 和 气体 含量 传感器 的 数据 ,将 数据 打包 、 压 缩 和 加 密 后 
通过 终端 的 有 线 网 络 或 无 线 网 络 接口 发 送 到 中 心 处 理 平台 进行 数据 的 汇总 和 处 理 。 这 种 系 
统 可 以 及 时 发 现 农 业 生 产 中 不 利于 农作物 生长 的 环境 因素 ,并 在 第 一 时 间 内 通知 使 用 者 纠 
正 这 些 因素 ,提高 作物 产量 ,减少 病虫害 发 生 的 概率 。 终 端的 防腐 .防潮 设计 将 是 此 类 终端 
的 重点 。 

(3) 物流 RFID 识别 终端 。 

该 类 设备 分 固定 式 .车载 式 和 手持 式 。 固 定式 一 般 安 装 在 仓库 门口 或 其 他 货物 通道 ,车 
载 式 安装 在 物流 运输 车 中 ,手持 式 则 由 使 用 者 手持 使 用 。 固 定式 一 般 只 有 识别 功能 ,用 于 跟 
踪 货物 的 入 库 和 出 库 ; 车 载 式 和 手持 式 中 一 般 具 有 GPS 定位 功能 和 基本 的 RFID 标签 扫描 
功能 ,用 来 识别 货物 的 状态 、 位 置 和 性 能 等 参数 .通过 有 线 或 无 线 网 络 将 位 置信 息 和 货物 基 
本 信息 传送 到 中 心 处 理 平台 。 通 过 该 终端 的 货物 状态 识别 ,将 物流 管理 变 得 非常 顺畅 和 便 
捷 , 大 大 提高 了 物流 的 效率 。 

2) 从 使 用 场合 分 

物 联 网 终端 从 使 用 场合 角度 来 划分 ,主要 包括 以 下 3 种 : 固定 终端 ,移动 终端 和 手持 
终端 。 

(1) 固定 终端 。 

应 用 在 固定 场合 ,常年 固定 不 动 ,具有 可 靠 的 外 部 供电 和 可 靠 的 有 线 数 据 链 路 ,检测 各 
种 固定 设备 、 仪 器 或 环境 的 信息 ,如 设施 农业 和 工业 设备 用 的 检测 终端 均 属于 此 类 。 

(2) 移动 终端 。 

应 用 在 终端 与 被 检测 设备 一 同 移动 的 场合 ,该 类 终端 因 经 常会 发 生 运动 ,所 以 没有 太 可 
靠 的 外 部 电源 ,需要 通过 无 线 数 据 链 路 进行 数据 的 传输 ,主要 检测 如 图 像 、 位 置 . 运 动 设备 的 
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某 些 物理 状态 等 。 该 类 终端 一 般 要 具备 良好 的 抗震 和 抗 电磁 干扰 能 力 , 此 外 对 供电 电源 的 
处 理 能 力也 较 强 ,有 的 具备 后 备 电源 。 一 些 车 载 仪器 .车 载 视频 监控 和 货车 /客车 GPS 定位 
等 均 使 用 此 类 终端 。 

(3) 手持 终端 。 

该 类 终端 是 在 移动 终端 的 基础 上 进行 了 改造 和 升级 , 它 一 般 小 巧 、 轻 便 , 使 用 者 可 以 随 
身 携带 ,有 后 备 电 池 , 一 般 可 以 断 电 连 续 使 用 8 小 时 以 上 。 有 可 以 连接 外 部 传 感 设备 的 接 
口 ,采集 的 数据 一 般 可 以 通过 无 线 进行 及 时 传输 ,或 在 积累 一 定 程度 后 连接 有 线 传 输 。 该 类 
终端 大 部 分 应 用 在 物流 RFID 识别 .工厂 参数 表 巡 检 和 农作物 病虫害 普查 等 领域 。 

3) 从 传输 方式 分 

物 联网 终端 从 传输 方式 角度 来 划分 ,主要 包括 以 太 网 终端 Wi-Fi 终端 .2G 终端 和 3G 
终端 等 ,有 些 智能 终端 具有 上 述 两 种 或 两 种 以 上 的 接口 。 

(1) 以 太 网 终端 。 

该 类 终端 一 般 应 用 在 数据 传输 量 较 大 以太 网 条 件 较 好 的 场合 ,现场 很 容易 布线 并 具有 
连接 互联 网 的 条 件 。 一 般 应 用 在 工厂 的 固定 设备 检测 ,智能 楼 宇和 智能 家 居 等 环境 中 。 

(2) Wi-Fi 终 端 。 

该 类 终端 一 般 应 用 在 数据 传输 量 较 大 、 以 太 网 条 件 较 好 ,但 终端 部 分 布线 不 容易 或 不 能 
布线 的 场合 ,在 终端 周围 架设 Wi-Fi 路 由 或 Wi-Fi 网 关 等 设备 实现 。 一 般 应 用 在 无 线 城市 
和 智能 交通 等 需要 大 数据 无 线 传输 的 场合 ,或 其 他 应 用 中 终端 周围 不 适合 布线 ,但 需要 高 数 
据 量 传输 的 场合 。 

(3) 2G 终端 。 

该 类 终端 应 用 在 小 数据 量 移动 传输 的 场合 或 小 数据 量 传输 的 野外 工作 场合 ,如 车 载 
GPS 定位 ,物流 RFID 手持 终端 .水库 水 质 监测 等 。 该 类 终端 因 具 有 移动 中 或 野外 条 件 下 的 
联网 功能 ,所 以 为 物 联网 的 深层 次 应 用 提供 了 更 加 广阔 的 市 场 。 

(4) 3G 终端 。 

该 类 终端 是 在 上 面 几 种 终端 基础 上 的 升级 ,提高 了 上 下 行 的 通信 速度 ,以 满足 移动 图 像 
监控 和 下 发 视频 等 应 用 场合 ,如 警车 巡警 图 像 的 回 传 动态 实时 交通 信息 的 监控 等 ,在 一 些 
大 数据 量 的 传 感 应 用 ,如 震动 量 的 采集 或 电力 信号 实施 监测 中 也 可 以 用 到 该 类 终端 。 

4) 从 使 用 扩展 性 分 

物 联 网 终端 从 使 用 扩展 性 角度 来 划分 ,主要 包括 单一 功能 终端 和 通用 智能 终端 两 种 。 

(1) 单一 功能 终端 。 

该 类 终端 一 般 外 部 接口 较 少 ,设计 简单 , 仅 满足 单一 应 用 或 单一 应 用 的 部 分 扩展 ,除了 
这 种 应 用 外 ,在 不 经 过 硬件 修改 的 情况 下 无 法 应 用 在 其 他 场合 中 。 目 前 市 场 上 此 类 终端 较 
多 ,如 汽车 监控 用 的 图 像 传输 服务 终端 ,电力 监测 用 的 终端 和 物流 用 的 RFID 终端 等 ,这 些 
终端 的 功能 单一 , 仅 适用 在 特定 场合 ,不 能 随 应 用 变化 进行 功能 改造 和 扩充 等 。 因 功能 单 
一 ,所 以 该 类 终端 的 成 本 较 低 ,也 比较 好 标准 化 。 

(2) 通用 智能 终端 。 

该 类 终端 因 考 虑 到 行业 应 用 的 通用 性 ,所 以 外 部 接口 较 多 ,设计 复杂 ,能 满足 两 种 或 更 
多 场合 的 应 用 。 它 可 以 通过 内 部 软件 的 设置 ,修改 应 用 参数 ,或 通过 硬件 模块 的 拆 印 来 满足 
不 同 的 应 用 需求 。 该 类 模块 一 般 涵盖 了 大 部 分 应 用 对 接口 的 需求 :并 具有 网 络 连接 的 有 线 、 
无 线 多 种 接口 方式 ,还 扩展 了 如 蓝牙 .Wi-Fi 和 ZigBee 等 接口 ,甚至 预 留 一 定 的 输出 接口 用 
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于 物 联网 应 用 中 对 * 物 ”的 控制 等 。 该 类 终端 开发 难度 大 ,成 本 高 ,未 标准 化 ,目前 市 面 上 该 
类 终端 很 少 。 

5) 从 传输 通路 分 

物 联 网 终端 从 传输 通路 角度 来 划分 ,主要 包括 数据 透 传 终端 和 非 数 据 透 传 终端 。 

(1) 数据 透 传 终端 。 

该 类 终端 在 输入 口 与 应 用 软件 之 间 建 立 起 数据 传输 通路 ,使 数据 可 以 通过 模块 的 输入 
口 输入 ,通过 软件 原封 不 动 地 输出 ,表现 给 外 界 的 方式 相当 于 一 个 透明 的 通道 ,因此 称 为 数 
据 透 传 终端 。 目 前 ,该 类 终端 在 物 联网 集成 项 目 中 得 到 大 量 采 用 。 其 优点 是 很 容易 构建 出 
符合 应 用 的 物 联网 系统 ,缺点 是 功能 单一 。 在 一 些 多 路 数据 或 多 类 型 数据 传输 时 ,需要 使 用 
多 个 采集 模块 进行 数据 的 合并 处 理 后 , 才 可 通过 该 终端 传输 ;否则 ,每 一 路 数据 都 需要 一 个 
数据 透 传 终端 ,这 样 会 加 大 使 用 成 本 和 系统 的 复杂 程度 。 目 前 市 面 上 的 大 部 分 通用 终端 都 
是 数据 透 传 终端 。 

(2) 非 数据 透 传 终端 。 

该 类 终端 一 般 将 外 部 多 接口 的 采集 数据 通过 终端 内 的 处 理 器 合并 后 传输 ,因此 具有 多 
路 同时 传输 的 优点 ,同时 减少 了 终端 数量 。 其 缺点 是 只 能 根据 终端 的 外 围 接 口 选择 应 用 ,如 
果 满 足 所 有 应 用 ,该 终端 的 外 围 接口 种 类 就 需要 很 多 ,在 不 太 复 杂 的 应 用 中 会 造成 很 多 接口 
资源 的 浪费 ,因此 接口 的 可 插 拔 设计 是 此 类 终端 的 共同 特点 ,前 面 提 到 的 通用 智能 终端 就 属 
于 此 类 终端 。 数 据 传输 应 用 协议 在 终端 内 已 集成 ,作为 多 功能 应 用 ,通常 需要 提供 二 次 开发 
接口 。 目 前 市 面 上 该 类 终端 较 少 。 


6.9.2 物 联网 终端 安全 


通过 对 无 线 网 络 安全 问题 的 探讨 发 现 ,目前 网 络 管理 工作 量 最 大 的 部 分 是 客户 端 安全 
部 分 ,对 网 络 的 安全 运行 威胁 最 大 的 也 同样 是 客户 端 安全 管理 。 只 有 解决 网 络 内 部 的 安全 
问题 , 才 可 以 排除 网 络 中 最 大 的 安全 隐患 ,在 内 部 网 络 终端 安全 管理 方面 ,主要 从 终端 状态 、 
行为 和 事件 3 个 方面 进行 防御 。 利 用 现 有 的 安全 管理 软件 加 强 对 以 上 三 个 方面 的 管理 是 当 
前 解决 无 线 网 络 安全 的 关键 所 在 。 


1. 感知 终端 目前 存在 的 主要 问题 


物 联网 的 感知 前 端 负责 实时 搜集 数据 ,将 数据 通过 网 络 上 传 到 数据 处 理 中 心 ,数据 处 理 
中 心 将 数据 处 理 产生 的 信息 或 者 决策 提供 给 用 户 或 者 联动 装置 ,而 感知 终端 就 是 这 些 信息 
或 者 决策 的 呈现 设备 。 常 用 的 感知 终端 有 PC、PDA 和 手机 等 。 

感知 终端 目前 存在 的 主要 问题 包括 终端 敏感 信息 泄漏 和 自 改 .SIM/UIM 卡 信息 泄漏 和 
复制 .空中 接口 信息 泄漏 和 自 改 以 及 终端 病毒 等 问题 。 而 常用 的 安全 措施 有 身份 认证 数据 
访问 控制 信道 加 密 、 单 向 数据 过 滤 和 强 审 计 等 。 

由 于 物 联 网 终端 主要 使 用 嵌入 式 系统 ,所 以 以 下 主要 探讨 嵌入 式 系统 所 面临 的 安全 
问题 。 


2. 嵌入 式 系统 所 面临 的 安全 问题 
一 套 完整 的 嵌入 式 系统 由 相关 的 硬件 及 其 配套 的 软件 构成 ,硬件 部 分 又 可 以 划分 为 电 
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路 系统 和 芯片 两 个 层次 。 在 应 用 环境 中 ,恶意 攻击 者 可 能 从 一 个 或 多 个 设计 层次 对 嵌入 式 
系统 展开 攻击 ,从 而 达到 窃取 密码 、 纂 改 信 息 和 破坏 系统 等 非法 目的 。 若 嵌入 式 系统 应 用 在 
诸如 金融 支付 .付费 娱乐 和 军事 通信 等 高 安全 敏感 领域 ,这 些 攻击 可 能 会 为 嵌入 式 系统 的 安 
全 带 来 巨大 威胁 ,给 用 户 造成 重大 的 损失 。 根 据 攻 击 层 次 的 不 同 , 这 些 针对 嵌入 式 系统 的 恶 
意 攻击 可 以 划分 为 软件 攻击 .电路 系统 级 的 硬件 攻击 以 及 基于 芯片 的 物理 攻击 3 种 类 型 ,如 
图 6. 10 所 示 。 


木马 、 病毒 、 蠕虫 
软件 
系统 总线 监听 、 繁 改 


芯片 


图 610 嵌入 式 系统 所 面临 的 安全 威胁 


在 各 个 攻击 层次 上 均 存 在 一 批 非常 典型 的 攻击 手段 。 这 些 攻击 手段 针对 嵌入 式 系 统 不 
同 的 设计 层次 展开 攻击 ,威胁 栓 入 式 系统 的 安全 。 下 面 将 对 嵌入 式 系 统 不 同 层次 上 的 攻击 
分 别 予 以 介绍 。 


3. 软件 层次 的 安全 性 分 析 


在 软件 层次 ,嵌入 式 系统 运行 着 各 种 应 用 程序 和 驱动 程序 。 在 这 个 层次 上 , 艇 人 式 系统 
所 面临 的 恶意 攻击 主要 有 木马 ,蠕虫 和 病毒 等 。 从 表现 特征 上 看 ,这 些 不 同 的 恶意 软件 攻击 
都 具有 各 自 不 同 的 攻击 方式 。 病 毒 是 通过 自我 传播 以 破坏 系统 的 正常 工作 为 目的 ,蠕虫 是 
以 网 络 传 播 、 消 耗 系统 资源 为 特征 ,木马 则 通过 窃取 系统 权限 从 而 控制 处 理 器 。 从 传播 方式 
上 看 ,这 些 恶 意 软件 都 是 利用 通信 网络 予以 扩散 。 在 嵌入 式 系统 中 ,最 为 普遍 的 恶意 软件 就 
是 针对 智能 手机 所 开发 的 病毒 和 木马 ,这 些 恶 意 软件 体积 小 巧 , 可 以 通过 SMS (Short 
Messaging Service) 短 信和 软件 下 载 等 隐秘 方式 侵入 智能 手机 系统 ,然后 等 待 合适 的 时 机 发 
动 攻击 。 

尽管 在 嵌入 式 系统 中 恶意 软件 的 代码 规模 都 很 小 ,但 是 其 破坏 力 却 是 巨大 的 。 

2005 年 在 芬兰 赫尔辛基 世界 田径 锦标 赛 上 大 规模 爆发 的 手机 病毒 Cabir 便 是 恶意 软件 
攻击 的 代表 。 截 至 2006 年 4 月 ,全 球 仅 针对 智能 手机 的 病毒 就 出 现 了 近 两 百 种 ,并 且 数 量 
还 在 迅猛 增加 。 亚 意 程 序 经 常会 利用 程序 或 操作 系统 中 的 漏洞 获取 权限 ,展开 攻击 。 最 常 
见 的 例子 就 是 由 缓冲 区 溢出 所 引起 的 恶意 软件 攻击 。 攻 击 者 利用 系统 中 正常 程序 所 存在 的 
漏洞 对 系统 进行 攻击 。 图 6. 11 就 描述 了 一 段 具 有 安全 隐患 的 程序 代码 。 在 主 程序 {() 中 调 
用 了 g() 子 程序 ,其 中 参数 x、y 以 指针 的 形式 进行 传递 ,字符 串 x 的 内 容 将 被 复制 到 本 地 变 
量 b 中 ,然而 在 这 一 过 程 中 程序 并 没有 检查 字符 串 x 的 大 小 ,因此 ,恶意 攻击 者 可 以 在 程序 
运行 的 过 程 中 利用 该 漏洞 展开 缓冲 区 溢出 攻击 。 

攻击 者 所 采取 的 具体 攻击 方法 如 图 6. 12 所 示 。 在 系统 运行 过 程 中 , 当 子 程序 调用 系统 
函数 strcpy() 时 , 若 攻击 者 输入 的 字符 串 x 大 于 b 的 大 小 , 则 会 在 内 存 片段 中 发 生 溢出 , 程 
序 会 跳 转 到 攻击 者 所 设计 的 危险 代码 中 ,从 而 导致 程序 的 控制 权 为 恶意 攻击 者 所 获取 。 在 
这 一 过 程 中 ,攻击 者 必须 要 了 解 处 理 器 的 体系 结构 与 执行 方式 ,掌握 正常 程序 中 所 存在 的 漏 
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主 函 数 子 函 数 


int f£() int g(char*x, char*y) 
{ { int a; 

a char b[128]; 

g(x, y); strcpy(b, x); 


} return; 


} 


图 611 具有 安全 隐患 的 代码 


洞 , 同 时 还 要 能 够 将 危险 的 程序 代码 注入 系统 中 ,才能 够 完成 软件 攻击 。 


strcpy() 


高 地 址 A 人 NN 
语 Stack frame of f() Stack frame of f() 
匹 X X 
公 区 y 
* 
3 return address corrupt address 
县 saved FP 
a 恶意 代码 
b 
SP -一 | 
低地 址 


612 缓冲 区 溢出 攻击 


因而 , 随 着 嵌入 式 系统 日 益 推广 应 用 ,嵌入 式 系统 已 经 不 像 过 去 那么 安全 。 恶 意 软件 攻 
击 可 以 根据 恶意 攻击 者 的 需求 对 嵌入 式 系统 实 施 干扰 ,监视 甚至 远程 控制 ,已 经 对 酚 入 式 系 
统 的 安全 应 用 构成 了 实质 性 的 威胁 。 


4. 系统 层次 的 安全 性 分 析 


在 嵌入 式 设 备 的 系统 层次 中 ,设计 者 需要 将 各 种 电容 .电阻 以 及 芯片 等 不 同 的 器 件 焊接 
在 印刷 电路 板 上 组 成 嵌入 式 系统 的 基本 硬件 ,而 后 将 相应 的 程序 代码 写 和 人 电路 板 上 的 非 易 
失 性 存储 器 中 ,使 嵌入 式 系统 具备 运行 能 力 ,从 而 构成 整个 系统 。 为 了 能 够 破解 嵌入 式 系 
统 ,攻击 者 在 电路 系统 层次 上 设计 了 多 种 攻击 方式 。 这 些 攻击 都 是 通过 在 嵌入 式 系统 的 电 
路 板 上 施加 少量 的 硬件 改动 ,并 配合 适当 的 底层 汇编 代码 ,来 达到 欺骗 处 理 器 、 穷 取 机 密 信 
息 的 目的 。 在 这 类 攻击 中 ,具有 代表 性 的 攻击 方式 主要 有 总 线 监听 、 总 线 算 改 以 及 存储 器 非 
法 复制 等 。 

攻击 者 为 了 实现 系统 级 攻击 ,首先 需要 在 硬件 层次 上 对 嵌入 式 系统 进行 修改 ,增加 必要 
的 攻击 电路 ,从 而 构成 硬件 攻击 平台 。 图 6. 13 描述 了 一 套用 于 总 线 监听 的 攻击 平台 。 恶 意 
攻击 者 将 一 块 FPGA 电路 板 挂 载 在 嵌入 式 系统 的 数据 总 线 与 地 址 总 线 上 ,通过 配置 FPGA 
器 件 ,攻击 者 可 以 构建 攻击 所 需要 的 各 种 监控 逻辑 ,从 而 捕捉 系统 总 线 中 的 通信 信息 ,为 攻 
击 者 提供 分 析 所 需 的 数据 素材 。 此 外 ,FPGA 电路 板 还 对 嵌入 式 处 理 器 的 通用 接口 进行 监 
听 , 当 程序 指令 运行 到 操作 通用 接口 时 ,FPGA 电路 板 可 以 在 截获 程序 指令 的 同时 捕获 接口 
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上 的 电 平 变 化 ,从 而 为 分 析 榜 入 式 系 统 的 程序 提供 数据 支持 。FPGA 搜集 到 的 所 有 信息 都 
将 上 传 到 攻击 者 的 PC(Personal Computer) 中 ,帮助 攻击 者 对 租 入 式 系统 的 运行 方式 进行 解 
析 。 攻 击 者 在 侦 测 总 线 、 监 听 通 信 的 基础 上 ,还 可 以 对 处 理 器 与 外 部 设备 之 间 的 通信 进行 修 
改 , 从 而 破坏 系统 的 正常 运行 ,这 种 攻击 称 为 总 线 算 改 攻击 。 


数据 总 线 


地 址 总 线 


代入 式 处 理 器 | 通用 接口 


FPGA 外 设 1 外 设 2 

| 复位 | 0G 
日 攻击 硬件 
口 正常 硬件 


图 613 基于 总 线 监听 的 攻击 平台 


在 总 线 监 听 的 攻击 平台 上 ,攻击 者 只 需要 进行 少量 的 硬件 改动 即 可 实施 总 线 算 改 攻击 。 
攻击 者 在 硬件 上 的 工作 是 要 在 系统 总 线 上 插入 多 路 选择 器 ,使 得 攻击 平台 可 以 旁 路 戏 和 式 
处 理 器 在 与 外 部 设备 之 间 的 正常 通信 。 除 此 以 外 ,攻击 者 还 需要 对 FPGA 器 件 进行 重新 配 
置 ,使 其 能 够 在 系统 运行 时 伪装 成 蔡 入 式 系统 中 的 正常 外 设 ,欺骗 府 入 式 处 理 器 。 当 嵌入 式 
处 理 器 对 外 部 设备 进行 通信 时 ,由 FPGA 电路 板 对 外 部 设备 的 应 答 予 以 自 改 ,或 者 直接 伪造 
应 管 ,从 而 诱导 风 入 式 处 理 器 完成 各 种 攻击 者 所 需要 的 相关 操作 。 

总 线 监听 攻击 可 以 帮助 恶意 攻击 者 盗 取 保存 在 片 外 存储 器 中 的 有 价值 信息 。 总 线 复 改 
攻击 可 以 帮助 恶意 攻击 者 控制 嵌入 式 系 统 的 运行 ;在 适当 的 软件 配合 下 ,总 线 算 改 攻击 还 可 
以 完成 对 加 密 系统 的 暴力 攻击 。 在 实际 攻击 中 ,这 两 种 攻击 方式 经 常 结合 起 来 ,共同 对 嵌入 
式 系统 展开 攻击 。 


S. 芯片 层次 的 安全 性 分 析 


戏 人 式 系统 的 芯片 是 硬件 实现 中 最 低 的 层次 ,然而 在 这 个 层次 上 依然 存在 着 面向 芯片 
的 硬件 攻击 。 这 些 攻击 主要 期 望 能 从 芯片 器 件 的 角度 寻找 戏 入 式 系统 安全 漏洞 ,实现 破解 。 
根据 实现 方式 的 不 同 , 芯 片 级 的 攻击 方式 可 以 分 为 侵入 式 和 非 侵入 式 两 种 。 其 中 ,侵入 式 攻 
击 方式 需要 将 芯片 的 封装 去 除 ,然后 利用 探 针 等 工具 直接 对 芯片 的 电路 进行 攻击 。 在 侵入 
式 攻击 方式 中 ,以 硬件 木马 攻击 最 具 代 表 性 。 而 非 侵入 式 的 攻击 方式 主要 是 指 在 保留 芯片 
封装 的 前 提 下 ,利用 芯片 在 运行 过 程 中 泄露 出 来 的 物理 信息 进行 攻击 的 方式 ,这 种 攻击 方式 
也 称 为 边 频 攻 击 。 硬 件 木 马 攻击 是 一 种 新 型 的 芯片 级 硬件 攻击 。 这 种 攻击 方式 通过 逆向 工 
程 分 析 芯 片 的 裸 片 电路 结构 ,然后 在 集成 电路 的 制造 过 程 中 ,向 芯片 硬件 电路 中 注 人 带 有 特 
定 恶意 目的 的 硬件 电路 , 即 硬件 木马 ,从 而 达到 在 芯片 运行 的 过 程 中 对 系统 的 运行 子 以 控制 
的 目的 。 硬 件 木 马 攻击 包括 木马 注入 ,监听 触发 以 及 木马 发 作 3 个 步 又。 首先 ,攻击 者 需要 
分 析 芯 片 的 内 部 电路 结构 ,在 芯片 还 在 芯片 代 工 厂 制造 时 将 硬件 木马 电路 注入 正常 的 功能 
电路 中 ; 待 芯片 投入 使 用 后 ,硬件 木马 电路 监听 功能 电路 中 的 特定 信号 ; 当 特 定 信号 达到 某 
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些 条 件 后 ,硬件 木马 电路 被 触发 ,木马 电路 完成 攻击 者 所 期 望 的 恶意 功能 。 经 过 这 些 攻击 步 
又 ,硬件 木马 甚至 可 以 轻易 地 注入 加 密 模 块 中 ,干扰 其 计算 过 程 , 从 而 降低 加 密 的 安全 强度 。 
在 整个 攻击 过 程 中 ,硬件 木马 电路 的 设计 与 注入 是 攻击 能 否 成 功 的 关键 。 攻 击 者 需要 根据 
实际 电路 设计 ,将 硬件 木马 电路 寄生 在 某 一 正常 的 功能 电路 之 中 ,使 其 成 为 该 功能 电路 的 旁 
路 分 支 。 

硬件 木马 攻击 只 需要 植 人 很 小 规模 的 电路 就 可 以 对 芯片 的 功能 造成 显著 影响 。 基 于 侵 
和 人 式 的 芯片 级 硬件 攻击 对 整体 系统 的 功能 破坏 非常 奏效 。 

另 一 方面 ,以 不 破坏 芯片 的 物理 封装 为 特点 的 边 频 攻击 ,利用 芯片 在 工作 时 的 功 耗 、 时 
间 和 电磁 辐射 等 物理 特性 推断 芯片 的 工作 方式 ,猜测 系统 中 的 密 文 信息 。 在 边 频 攻击 中 ,以 
差分 功 耗 分 析 最 具 代表 性 。 

差分 功 耗 分 析 根 据 认 和 人 式 处 理 器 芯片 使 用 固定 密 钥 对 输入 的 多 组 不 同 明 文 数据 进行 加 
密 操作 时 CMOS(Complementary Metal Oxide Semiconductor ) 电 路 的 功 耗 变化 情况 ,猜测 
局 部 密 钥 位 与 可 基 测 输出 之 间 的 区 分 函数 ,并 将 区 分 函数 的 输出 与 实际 功 耗 曲 线 进行 对 比 
验证 ,从 而 分 析出 嵌入 式 处 理 器 在 加 密 操作 中 所 使 用 的 密 钥 。 尽 管 攻击 者 无 须 在 硬件 平台 
上 进行 大 量 的 改动 ,但 是 在 攻击 过 程 中 ,攻击 者 需要 有 处 理 器 准确 的 功 耗 模型 ,并 且 在 实施 
攻击 的 过 程 中 ,电路 板 的 环境 噪声 .示波器 的 采样 频率 和 数据 深度 等 因素 都 对 攻击 的 结果 造 
成 直接 的 影响 。 因 而 ,在 实际 环境 中 的 边 频 攻击 存在 着 局 限 性 。 

这 些 攻击 方式 都 各 具 特 点 。 软 件 攻击 的 攻击 范围 广泛 .实施 容易 , 且 不 易 发 觉 ,但 是 其 
对 攻击 对 象 的 平台 依赖 度 高 ,传播 需要 借助 网 络 等 通信 手段 。 嵌 入 式 系统 多 种 多 样 ,并 且 不 
是 所 有 的 系统 都 采用 相同 的 开放 操作 系统 ,还 有 大 量 的 戏 入 式 设备 处 于 离线 工作 状态 中 。 
此 外 ,为 满足 不 同 的 应 用 环境 的 需求 ,不 少 设备 都 是 使 用 封闭 的 或 者 特别 定制 的 软件 系统 ， 
有 的 设备 甚至 没有 操作 系统 。 这 样 的 软件 环境 大 大 降低 了 恶意 软件 的 威胁 。 

而 芯片 级 的 物理 攻击 在 实际 攻击 中 会 受到 各 种 约束 条 件 的 限制 。 首 先 ,对 于 侵入 式 的 
芯片 级 硬件 攻击 来 说 ,其 攻击 成 本 非常 高 昂 ,并且 每 次 攻击 都 只 能 针对 一 块 芯片 。 对 攻击 者 
来 说 ,实现 起 来 也 困难 ,必须 要 借助 专门 的 实验 环境 才能 完成 有 效 攻击 。 然 而 最 重要 的 一 点 
是 侵入 式 的 芯片 级 硬件 攻击 无 法 了 解 系统 在 运行 过 程 中 的 情况 。 另 一 方面 ,对 于 非 侵 入 式 
的 芯片 级 硬件 攻击 需要 有 精确 的 芯片 模型 作为 参考 ,并 且 对 嵌入 式 系统 的 工作 环境 要 求 严 
格 ,环境 误差 对 攻击 结果 的 影响 明显 ,因而 也 无 法 广泛 地 针对 嵌入 式 系统 展开 攻击 。 

相反 ,在 实际 攻击 中 ,采用 系统 级 的 硬件 攻击 最 为 现实 。 首 先 ,系统 级 的 硬件 攻击 可 以 
针对 任何 能 够 运行 的 嵌入 式 系统 ;其 次 ,攻击 者 可 以 通过 系统 级 的 硬件 攻击 确切 地 掌握 艇 人 
式 设备 在 运行 时 的 数据 信息 ;最 后 ,系统 级 的 硬件 攻击 成 本 低廉 的 特点 使 得 攻击 者 可 以 很 容 
易 地 实施 攻击 。 因 此 ,就 实际 意义 而 言 ,系统 级 攻击 ,特别 是 总 线 监听 以 及 自 改 攻击 , 才 是 髓 
入 式 系统 在 运行 过 程 中 所 需要 面临 的 最 主要 安全 威胁 。 

各 种 攻击 方式 的 特性 比较 如 表 6. 1 所 示 。 

过 去 的 研究 说 明 ,嵌入 式 系统 所 面临 的 安全 性 威胁 主要 源 于 嵌入 式 系统 运行 过 程 中 程 
序 以 及 数据 的 安全 性 。 


6. 嵌入 式 处 理 器 的 安全 设计 准则 


面 对 以 总 线 监听 以 及 总 线 自 改 攻击 为 代表 的 系统 级 硬件 攻击 ,以 下 的 叙述 假设 : 嵌入 
式 处 理 器 本 身 是 安全 可 信 的 ,攻击 者 无 法 获取 来 自 府 入 式 处 理 器 内 部 的 机 密 信息 ; 而 除 处 理 
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表 6.1 各 类 攻击 方式 的 特性 比较 


软件 攻击 | 系统 级 硬件 攻击 | 侵入 式 芯片 级 硬件 攻击 | 非 侵 入 式 芯 片 级 硬件 攻击 
技术 难度 容易 容易 困难 困难 
平台 依赖 性 | 局 一 般 一 般 一 般 
攻击 范围 多 个 系统 单个 系统 单个 系统 单个 系统 
攻击 破坏 性 | 严重 低 低 低 
攻击 成 本 廉价 昂贵 廉价 廉价 


器 以 外 的 其 他 外 部 设备 都 是 不 可 信任 的 ,设计 者 无 法 确保 来 自 这 些 设备 的 数据 是 否 被 攻击 
者 监听 或 算 改 。 在 这 种 安全 前 提 下 ,嵌入 式 系统 的 攻击 对 象 主要 来 自 两 个 地 方 : 数据 总 线 
和 片 外 存储 器 。 图 6. 14 描述 了 针对 嵌入 式 设 备 的 系统 级 硬件 攻击 模型 。 在 现实 条 件 下 , 程 
序 被 保存 在 处 理 器 外 部 的 不 可 信 的 存储 器 中 。 攻 击 者 可 能 将 存储 器 芯片 从 电路 板 中 取 下 ， 
并 通过 物理 的 方法 读 取 每 一 位 的 状态 。 


1 
enn | 
| ! 
| | et i 
| 1 NE 法 复制 
和 国 
1 
a / 外 部 
| | 于 统 总 线 “| 存储器 
| | 
1 
I ] 1 


图 614 系统 级 硬件 攻击 模型 


如 果 程 序 是 以 明文 的 形式 保存 ,那么 攻击 者 将 会 得 到 其 有 用 的 信息 。 此 外 ,处 理 器 与 存 
储 器 之 间 的 数据 总 线 也 是 不 可 信和 的 。 被 访问 的 指令 会 受到 监控 的 威胁 。 因 此 ,为 了 避免 这 
类 攻击 ,在 设计 一 个 新 的 嵌入 式 处 理 器 时 必须 对 这 些 安 全 威胁 予以 细致 考虑 。 在 已 知 系统 
级 硬件 攻击 模型 的 基础 上 , 若 嵌 入 式 处 理 器 在 设计 规划 之 初 就 有 相关 的 安全 性 指导 , 则 可 以 
有 效 地 帮助 嵌入 式 处 理 器 提高 整体 系统 的 安全 性 。 因 此 ,有 必要 为 嵌入 式 处 理 器 制定 合理 
的 安全 设计 准则 。 根 据 已 有 的 系统 级 攻击 ,对 啼 入 式 处 理 器 的 安全 设计 准则 归纳 如 下 : 

(1) 限制 总 线 上 的 数据 传输 。 处 理 器 如 果 对 总 线 上 的 数据 传输 进行 有 效 的 控制 , 则 意 
味 着 暴露 在 电路 板 的 金属 导线 上 的 信息 更 少 ,从 而 减 小 总 线 监听 所 带 来 的 风险 ;此 外 ,限制 
数据 传输 可 以 避免 攻击 者 随意 地 操作 总 线 , 增 加 攻击 者 通过 总 线 监 听 分 析 嵌 入 式 系统 的 
难度 。 

(2) 保护 数据 信息 的 机 密 性 。 安 全 的 嵌入 式 处 理 器 应 当 能 确保 片 外 存储 器 中 保存 的 数 
据 信息 的 机 密 性 。 经 过 加 密 操作 使 数据 信息 的 真实 内 容 隐 藏 在 密 文中 。 即 使 攻击 者 能 够 完 
全 读 取 存储 器 中 的 内 容 或 者 捕获 总 线 中 的 所 有 信息 ,在 没有 密 钥 的 情况 下 ,攻击 者 也 无 法 获 
取 其 中 的 信息 ,这 样 才能 保证 攻击 者 不 能 通过 系统 级 的 攻击 手段 破解 系统 。 

(3) 确保 程序 加 密 空 间 的 独立 性 。 不 同 的 程序 在 嵌入 式 系统 中 应 当 具有 相互 独立 的 加 
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密 空 间 。 在 由 单一 密 钥 保存 的 系统 中 存在 着 安全 脆弱 性 。 攻 击 者 能 够 通过 窍 取 某 一 个 程序 
的 密 钥 , 从 而 获取 其 他 程序 空间 的 指令 数据 。 因 而 ,安全 的 戏 和 人 式 处 理 器 应 当 在 处 理 器 中 采 
取 相 应 的 保护 机 制 ,提高 安全 保护 的 健壮 性 。 处 理 器 应 当 使 用 相互 独立 的 密 钥 对 存储 器 中 
的 各 个 程序 予以 加 密 , 从 而 保证 每 一 程序 被 隔离 在 自己 的 空间 中 。 

(4) 保护 数据 信息 的 完整 性 。 面 对 总 线 自 改 攻击 ,仅仅 保护 数据 的 加 密 性 是 不 够 的 。 
攻击 者 可 以 通过 自 改 通信 数据 ,修改 租 入 式 处 理 器 的 指令 ,并 通过 分 析 榜 入 式 处 理 器 的 行 
为 ,了 解 嵌 入 式 处 理 器 的 内 部 运行 机 制 。 因 此 ,为 了 能 够 辨别 这 些 由 攻击 者 伪造 的 数据 , 安 
全 的 嵌入 式 处 理 器 应 当 确 保 运行 过 程 中 数据 信息 的 完整 性 ,从 而 保证 在 处 理 器 中 运行 的 数 
据 指 令 的 合法 性 。 

(5) 确保 安全 敏感 信息 的 时 效 性 。 在 安全 的 嵌入 式 处 理 器 中 运行 的 安全 敏感 信息 应 当 
具备 时 效 性 。 在 嵌入 式 处 理 器 中 ,诸如 密 钥 等 机 密 信息 保存 的 时 间 越 长 ,被 捕获 的 可 能 性 就 
越 大 。 如 果肉 入 式 处 理 器 根据 程序 指令 行为 以 及 系统 的 运行 周期 定期 地 对 密 钥 进 行 更 换 ， 
那么 就 可 以 有 效 地 防止 攻击 者 对 系统 的 暴力 攻击 ,提供 整体 系统 的 安全 性 。 

(6) 隔离 安全 信息 与 正常 的 数据 信息 。 在 处 理 器 内 部 ,安全 信息 与 正常 的 数据 信息 应 
当 予 以 合理 地 隔离 。 如 果 将 安全 信息 与 正常 的 数据 信息 保存 在 相同 的 存储 器 空间 内 , 既 降 
低 了 处 理 器 运行 时 的 性 能 ,又 可 能 给 处 理 器 带 来 潜在 的 安全 隐患 。 因 此 处 理 器 在 结构 应 当 
将 安全 信息 与 正常 的 数据 信息 予以 隔离 。 

通过 以 上 的 安全 准则 ,安全 的 嵌入 式 处 理 器 可 以 对 系统 中 数据 信息 的 机 密 性 和 完整 性 
提供 完善 的 保护 ,从 而 有 效 地 避免 攻击 者 通过 总 线 监听 和 算 改 等 系统 级 攻击 方式 分 析 系 统 ， 
寻找 系统 的 漏洞 。 


习题 六 


. 简要 解释 物 联网 网 络 构建 层 的 安全 分 类 。 

.如 何 保 证 无 线 网 络 的 安全 连接 ? 

.无线 通 信和 网 络 中 的 不 安全 因素 主要 有 哪儿 个 方面 ? 
. 简 述 WAP 协议 的 形成 与 发 展 。 

. WAP 可 提供 哪 几 方面 的 服务 ? 

. 简 述 WAP 应 用 面临 的 安全 威胁 。 

. 为 了 应 对 这 些 安全 漏洞 ,目前 已 经 提出 的 端 到 端的 安全 模型 主要 有 哪 几 种 ? 
. 无 线 网 络 安全 技术 的 实现 措施 有 哪 几 种 ? 

. 无 线 局 域 网 所 面临 的 危险 有 哪些 ? 

10. 简 述 业界 常见 的 无 线 网 络 安全 技术 。 

11. 无 线 网 络 主流 技术 安全 解决 方案 有 哪 几 种 ? 

12. 蓝牙 服务 的 安全 主要 由 哪 几 方面 来 保证 ? 

13. 简 述 UWB 面临 的 信息 安全 威胁 。 

14. 感知 终端 目前 存在 的 主要 问题 是 什么 ? 


MD oo 门口 四 上 旧书 
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网 络 安全 从 其 本 质 上 来 讲 就 是 网 络 上 的 信息 安全 。 从 广义 来 说 ,凡是 涉及 网 络 上 信息 
的 保密 性 、 完 整 性 .可 用 性 真实 性 和 可 控 性 的 相关 技术 和 理论 都 是 网 络 安全 的 研究 领域 。 
网 络 安 全 是 一 门 涉 及 计算 机 科学 、 网 络 技术 、 通 信 技 术 、 密 码 技术 ,信息 安全 技术 、 应 用 数学 、 
数论 和 信息 论 等 多 种 学 科 的 综合 性 学 科 。 

威胁 网 络 安全 因素 包括 : 自然 灾害 、 意 外 事故 ;计算 机 犯罪 ;人 为 行为 ,如 使 用 不 当 、 安 
全 意识 差 等 ;黑客 的 行为 : 由 于 黑客 的 入 侵 或 侵扰 ,如 非法 访问 、 拒 绝 服务 计算 机 病毒 和 非 
法 连接 等 ;内 部 泄密 ;外 部 泄密 ;信息 丢失 ;电子 谍报 ,如 信息 流量 分 析 和 信息 窃取 等 ;信息 
战 ;网 络 协议 中 的 缺陷 ,如 TCP/IP 协议 的 安全 问题 等 。 


7.1 网 络 安全 概述 


从 网 络 运行 和 管理 者 的 角度 来 说 ,希望 对 本 地 网 络 信息 的 访问 和 读 写 等 操作 受到 保护 
和 控制 ,避免 出 现 “ 陷 门 ”病毒 非法 存 取 ,拒绝 服务 、 网 络 资源 非法 占用 和 非法 控制 等 威胁 ， 
制止 和 防御 网 络 黑客 的 攻击 。 对 安全 保密 部 门 来 说 ,希望 对 非法 的 有 害 的 或 涉及 国家 机 密 
的 信息 进行 过 滤 和 防 堵 , 避 免 机 要 信息 泄露 ,避免 对 社会 产生 危害 ,给 国家 造成 巨大 损失 。 
从 社会 教育 和 意识 形态 角度 来 说 ,网 络 上 不 健康 的 内 容 会 对 社会 的 稳定 和 人 类 的 发 展 造成 
阻碍 ,必须 对 其 进行 控制 。 

随 着 计算 机 技术 的 迅速 发 展 , 在 系统 处 理 能 力 提高 的 同时 ,系统 的 连接 能 力也 在 不 断 提 
高 。 但 在 连接 能 力 和 信息 流通 能 力 提高 的 同时 ,基于 网 络 连接 的 安全 问题 也 日 益 突出 ,整体 
的 网 络 安全 主要 表现 在 以 下 几 个 方面 : 网 络 物理 安全 、 网 络 拓 扑 结 构 安全 、 网 络 系统 安全 、 
应 用 系统 安全 和 网 络 管理 的 安全 等 。 

通常 ,系统 安全 与 性 能 和 功能 是 一 对 矛盾 。 如 果 某 个 系统 不 向 外 界 提 供 任何 服务 ( 断 
开 ) ,外 界 是 不 可 能 构成 安全 威胁 的 。 但 是 ,企业 接 入 互联 网 ,提供 网 上 商店 和 电子 商务 等 服 
务 , 等 于 将 一 个 内 部 封闭 的 网 络 建成 了 一 个 开放 的 网 络 环境 ,各 种 安全 问题 (包括 系统 级 的 
安全 问题 ) 也 随 之 产生 。 

构建 网 络 安全 系统 ,一 方面 由 于 要 进行 认证 ,加 密 、 监 听 , 分 析 和 记录 等 工作 ,由 此 影响 
网 络 效率 ,并 且 降 低 客户 应 用 的 灵活 性 ; 另 一 方面 也 增加 了 管理 费用 。 

但 是 ,来 自 网 络 的 安全 威胁 是 实际 存在 的 ,特别 是 在 网 络 上 运行 关键 业务 时 ,网 络 安全 
是 首先 要 解决 的 问题 。 选 择 适 当 的 技术 和 产品 ,制订 灵活 的 网 络 安全 策略 ,在 保证 网 络 安全 
的 情况 下 ,提供 灵活 的 网 络 服务 通道 。 采 用 适当 的 安全 体系 设计 和 管理 计划 ,能够 有 效 降低 
网 络 安全 对 网 络 性 能 的 影响 并 降低 管理 费用 。 
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7.1.1 网 络 安全 威胁 分 析 


1. 物理 安全 


网 络 的 物理 安全 是 整个 网 络 系统 安全 的 前 提 。 在 网 络 工程 建设 中 ,由 于 网 络 系统 属于 
弱电 工程 , 耐 压 值 很 低 , 因 此 ,在 网 络 工程 的 设计 和 施工 中 ,必须 优先 考虑 保护 人 和 网 络 设备 
不 受 电 、 火 灾 和 雷击 的 侵害 ;考虑 布线 系统 与 照明 电线 .动力 电线 ,通信 线 路 .上 暧 气管 道 及 冷 
热 空气 管道 之 间 的 距离 ;考虑 布线 系统 和 绝缘 线 、 裸 体 线 以 及 接地 与 焊接 的 安全 ;必须 建设 
防 雷 系 统 , 不 仅 考虑 建筑 物 防 雷 ,还 必须 考虑 计算 机 及 其 他 弱电 耐 压 设备 的 防 雷 。 

总 体 来 说 ,物理 安全 的 风险 主要 有 : 地 震 、 水 灾 和 火灾 等 环境 事故 ;电源 故障 ;人 为 操作 
失误 或 错误 ;设备 被 盗 ,被 毁 ; 电 磁 干 扰 ; 线 路 截获 ;高 可 用 性 的 硬件 ; 双 机 多 宛 余 的 设计 ;机 
房 环境 及 报警 系统 、 安 全 意识 等 ,因此 要 尽量 避免 网 络 的 物理 安全 风险 。 


2. 网 络 拓扑 结构 的 安全 


网 络 拓扑 结构 设计 也 直接 影响 到 网 络 系统 的 安全 性 。 假 如 在 外 部 和 内 部 网 络 进行 通信 
时 ,内 部 网 络 的 机 器 安全 就 会 受到 威胁 ,同时 也 影响 在 同一 网 络 上 的 许多 其 他 系统 。 通 过 网 
络 传播 ,还 会 影响 到 连 上 Internet/Intranet 的 其 他 的 网 络 ; 影 响 所 及 ,还 可 能 涉及 法 律 和 金 
融 等 安全 敏感 领域 。 

因此 ,在 设计 时 有 必要 将 公开 服务 器 (Web、DNS、E-mail 等 ) 和 外 网 及 内 部 其 他 业务 网 
络 进行 必要 的 隔离 ,避免 网 络 结构 信息 外 泄 ; 同 时 还 要 对 外 网 的 服务 请 求 加 以 过 滤 , 只 人 允许 
正常 通信 的 数据 包 到 达 相 应 主机 ,其 他 的 请 求 服务 在 到 达 主 机 之 前 就 应 该 遭 到 拒绝 。 


3. 系统 的 安全 


所 谓 系统 的 安全 是 指 整 个 网 络 操作 系统 和 网 络 硬件 平台 是 否 可 靠 且 值得 信任 。 目 前 铠 
怕 没 有 绝对 安全 的 操作 系统 可 以 选择 ,无 论 是 Microsoft 公司 的 Windows 操作 系统 或 者 其 
他 任何 商用 UNIX 操作 系统 ,其 开发 厂商 必然 有 其 后 门 (back-door) ,因此 可 以 得 出 如 下 结 
论 : 没有 完全 安全 的 操作 系统 。 不 同 的 用 户 应 从 不 同 的 方面 对 其 网 络 作 详尽 的 分 析 , 选 择 
安全 性 尽 可 能 高 的 操作 系统 。 因 此 不 但 要 选用 尽 可 能 可 靠 的 操作 系统 和 硬件 平台 ,并 对 操 
作 系 统 进行 安全 配置 。 而 且 , 必 须 加 强 登录 过 程 的 认证 ,确保 用 户 的 合法 性 。 其 次 应 该 严格 
限制 登录 者 的 操作 权限 ,将 其 完成 的 操作 限制 在 最 小 的 范围 内 。 


4. 应 用 系统 的 安全 


应 用 系统 的 安全 与 具体 的 应 用 有 关 , 它 涉及 面 广 。 应 用 系统 的 安全 是 动态 的 .不 断 变 化 
的 。 应 用 的 安全 性 也 涉及 信息 的 安全 性 , 它 包 括 很 多 方面 。 

(1) 应 用 系统 的 安全 是 动态 的 不断 变 化 的 。 

应 用 的 安全 涉及 的 方面 很 多 .以 目前 Internet 上 应 用 最 为 广泛 的 E-mail 系统 来 说 ,其 解 
决 方案 有 Send Mail、 Netscape Messaging Server Office, Lotus Notes, Exchange Server、 
SUN CIMS 等 二 十 多 种 。 其 安全 手段 涉及 LDAP、DES 和 RSA 等 各 种 方式 。 应 用 系统 是 不 
断 发 展 且 应 用 类 型 是 不 断 增加 的 。 在 应 用 系统 的 安全 性 上 ,主要 考虑 尽 可 能 建立 安全 的 系 
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统 平台 ,而 且 通 过 专业 的 安全 工具 不 断 发 现 漏洞 ,修补 漏洞 ,提高 系统 的 安全 性 。 

(2) 应 用 的 安全 性 涉及 信息 和 数据 的 安全 性 。 

信息 的 安全 性 涉及 机 密 信息 汇 露 、 未 经 授权 的 访问 、 破 坏 信息 完整 性 、 假 冒 和 破坏 系统 
的 可 用 性 等 。 在 某 些 网 络 系统 中 涉及 很 多 机 密 信 息 , 如 果 一 些 重要 信息 遭 到 窃取 或 破坏 , 它 
的 经 济 、 社 会 和 政治 影响 将 是 很 严重 的 。 因 此 ,对 用 户 使 用 计算 机 必须 进行 身份 认证 ,对 于 
重要 信息 的 通信 必须 授权 ,传输 必须 加 密 。 采 用 多 层次 的 访问 控制 与 权限 控制 手段 ,实现 对 
数据 的 安全 保护 ;采用 加 密 技术 ,保证 网 上 传输 的 信息 (包括 管理 员 口 令 与 账户 、 上 传 信息 
等 ) 的 机 密 性 与 完整 性 。 


5. 管理 的 安全 风险 


网 络 管理 的 安全 是 网 络 安全 中 最 重要 的 方面 。 责 权 不 明 、 安 全 管理 制度 不 健全 及 缺乏 
可 操作 性 等 都 可 能 引起 管理 安全 的 风险 ,表现 为 : 当 网 络 出 现 攻 击 行为 或 网 络 受到 其 他 一 
些 安全 威胁 时 (如 内 部 人 员 的 违规 操作 等 ) ,无 法 进行 实时 的 检测 ,监控 ,报告 与 预警 ; 当 事 故 
发 生 后 ,也 无 法 提供 黑客 攻击 行为 的 追踪 线索 及 破案 依据 , 即 缺 乏 对 网 络 的 可 控 性 与 可 审查 
性 。 这 就 要 求 我 们 必须 对 站 点 的 访问 活动 进行 多 层次 的 记录 ,及 时 发 现 非 法 入 侵 行为 。 

建立 全 新 的 网 络 安全 机 制 ,必须 深刻 理解 网 络 并 能 提供 直接 的 解决 方案 ,因此 ,最 可 行 
的 做 法 是 制定 健全 的 管理 制度 和 严格 管理 相 结合 。 保 障 网 络 的 安全 运行 ,使 其 成 为 一 个 具 
有 良好 的 安全 性 、 可 扩充 性 和 易 管理 性 的 信息 网 络 是 网 络 管理 安全 的 首要 任务 。 一 旦 上 述 
安全 隐患 成 为 事实 ,对 整个 网 络 造成 的 损失 都 是 难以 估计 的 。 


7.1.2 网 络 安全 服务 的 主要 内 容 


1. 安全 技术 手段 


(1) 物理 措施 : 例如 ,保护 网 络 关 键 设备 (如 交换 机 \ 大 型 计算 机 等 ) ,制定 严格 的 网 络 安 
全 规章 制度 ,采取 防 辐 射 、. 防 火 以 及 安装 不 间断 电源 (UPS) 等 措施 。 

(2) 访问 控制 : 对 用 户 访问 网 络 资源 的 权限 进行 严格 的 认证 和 控制 。 例 如 ,进行 用 户 身 
份 认 证 ,对 口令 加 密 、 更 新 和 鉴别 ,设置 用 户 访问 目录 和 文件 的 权限 ,控制 网 络 设备 配置 的 权 
限 ,等 等 。 

(3) 数据 加 密 : 加 密 是 保护 数据 安全 的 重要 手段 。 加 密 的 作用 是 保障 信息 被 人 截获 后 
不 能 读 懂 其 含义 。 防 范 计算 机 网 络 病毒 ,安装 网 络 防 病毒 系统 。 

(4) 其 他 措施 : 其 他 措施 包括 信息 过 滤 、 容 错 、 数 据 镜像 .数据 备份 和 审计 等 。 近 年 来 ， 
围绕 网 络 安全 问题 提出 了 许多 解决 办 法 ,例如 数据 加 密 技 术 和 防火 墙 技术 等 。 数 据 加 密 是 
对 网 络 中 传输 的 数据 进行 加 密 ,到达 目的 地 后 再 解密 还 原 为 原始 数据 ,目的 是 防止 非法 用 户 
截获 后 盗用 信息 。 防 火 墙 技术 是 通过 对 网 络 的 隔离 和 限制 访问 等 方法 来 控制 网 络 的 访问 
权限 。 


2. 安全 防范 意识 


拥有 网 络 安全 意识 是 保证 网 络 安全 的 重要 前 提 。 许 多 网 络 安全 事件 的 发 生 都 和 缺乏 安 
全 防范 意识 有 关 。 
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7.1.3 ”Internet 安全 隐患 的 主要 体现 


互联 网 安全 隐患 主要 体现 在 以 下 几 个 方面 : 

(1) Internet 是 一 个 开放 的 、 无 控制 机 构 的 网 络 ,黑客 (Hacker) 经 常会 侵 人 网 络 中 的 计 
算 机 系统 ,或 窃取 机 密 数 据 和 盗用 特权 ,或 破坏 重要 数据 ,或 使 系统 功能 得 不 到 充分 发 挥 直 
至 瘫痪 。 

(2) Internet 的 数据 传输 是 基于 TCP/IP 通信 协议 进行 的 ,这 些 协议 缺乏 使 传输 过 程 中 
的 信息 不 被 窃取 的 安全 措施 。 

(3) Internet 上 的 通信 业务 多 数 使 用 UNIX 操作 系统 来 支持 ,UNIX 操作 系统 中 明显 存 
在 的 安全 脆弱 性 问题 会 直接 影响 安全 服务 。 

(4) 在 计算 机 上 存储 、 传 输 和 处 理 的 电子 信息 还 没有 像 传统 的 邮件 通信 那样 进行 信封 
保护 和 签字 盖 章 。 信 息 的 来 源 和 去 向 是 否 真实 ,内 容 是 否 被 改动 ,以 及 是 否 泄露 等 ,在 应 用 
层 支持 的 服务 协议 中 是 赁 着 君子 协定 来 维系 的 。 

(5) 电子 邮件 存在 着 被 拆 看 、 误 投 和 伪造 的 可 能 性 。 使 用 电子 邮件 来 传输 重要 机 密 信 
息 会 存在 着 很 大 的 危险 。 

(6) 计算 机 病毒 通过 Internet 的 传播 给 上 网 用 户 带 来 极 大 的 危害 ,病毒 可 以 使 计算 机 和 
计算 机 网 络 系统 瘫痪 数据 和 文件 丢失 。 在 网 络 上 传播 病毒 可 以 通过 公共 匿名 FTP 文件 传 
送 , 也 可 以 通过 邮件 和 邮件 的 附加 文件 传播 。 


7.1.4 网 络 安全 攻击 的 形式 


网 络 安全 攻击 主要 有 4 种 方式 :中 断 、 截 获 、 算 改 和 伪造 ,如 图 7. 1 所 示 。 其 中 ,截获 属 
于 被 动 攻 击 , 而 中 断 、 算 改 和 伪造 属于 主动 攻击 。 


"| 
© 
9 \ 


(a) 截获 (b) 中 断 (c) 篡改 (d) 伪造 
图 71 网 络 安全 攻击 的 形式 


中 断 是 以 可 用 性 作为 攻击 目标 , 它 毁 坏 系 统 资源 ,使 网 络 不 可 使 用 。 

2. 截获 

截获 是 以 保密 性 作为 攻击 目标 , 非 授 权 用 户 通过 某 种 手段 获得 对 系统 资源 的 访问 。 
3. 算 改 

自 改 是 以 完整 性 作为 攻击 目标 , 非 授权 用 户 不 仅 获得 访问 ,而 且 对 数据 进行 修改 。 
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4. 伪造 
伪造 是 以 完整 性 作为 攻击 目标 , 非 授 权 用 户 将 伪造 的 数据 插入 到 正常 传输 的 数据 中 。 


7.1.5 网 络 安全 案例 


1. 概况 


随 着 计算 机 技术 的 飞速 发 展 ,信息 网 络 已 经 成 为 社会 发 展 的 重要 保证 。 其 中 有 很 多 是 
敏感 信息 ,甚至 是 国家 机 密 。 所 以 难免 会 吸引 来 自 世 界 各 地 的 各 种 人 为 攻击 (例如 信息 泄 
漏 、 信 息 窃 取 ,数据 算 改 .数据 删改 和 计算 机 病毒 等 )。 同 时 ,网 络 实体 还 要 经 受 诸如 水 灾 、 火 
灾 、 地 震 和 电磁 辐射 等 方面 的 考验 。 

计算 机 犯罪 案件 也 急剧 上 升 ,计算 机 犯罪 已 经 成 为 普遍 的 国际 性 问题 。 据 美国 联邦 调查 
局 的 报告 ,计算 机 犯罪 是 商业 犯罪 中 最 大 的 犯罪 类 型 之 一 ,每 笔 犯罪 的 平均 金额 为 45 000 美 
元 ,每 年 由 于 计算 机 犯罪 造成 的 经 济 损失 高 达 50 亿美 元 。 


2. 国外 案例 


1996 年 初 , 据 美国 旧金山 的 计算 机 安全 协会 与 联邦 调查 局 的 一 次 联合 调查 统计 ,有 
53% 的 企业 受到 过 计算 机 病毒 的 侵害 ,42% 的 企业 的 计算 机 系统 在 过 去 的 12 个 月 被 非法 使 
用 过 。 而 五 角 大 楼 的 一 个 研究 小 组 称 美国 一 年 中 遭受 的 攻击 就 达 25 万 次 之 多 。 

1994 年 末 ,俄罗斯 黑客 弗 拉 基 米尔 。 利 文 与 其 伙伴 从 圣 彼 得 保 的 一 家 小 软件 公司 的 连 
网 计算 机 上 ,向 美国 CITYBANK 银行 发 动 了 一 连 串 攻击 ,通过 电子 转账 方式 , 从 
CITYBANK 银行 在 纽约 的 计算 机 主机 里 窃取 1100 万 美元 。 

1996 年 8 月 17 日 ,美国 司法 部 的 网 络 服 务 器 遭 到 黑客 入 侵 , 并 将 美国 司法 部 的 主页 改 
为 “美国 不 公正 部 ”, 将 司法 部 部 长 的 照片 换 成 了 阿道夫 ， 希特勒 ,将 司法 部 徽章 换 成 了 纳粹 
党 徽 ,并 加 上 一 幅 色 情 女郎 的 图 片 作 为 所 谓 司 法 部 部 长 的 助手 ,此 外 还 留 下 了 很 多 攻击 美国 
司法 政策 的 文字 。 

1996 年 9 月 18 日 ,黑客 又 光顾 美国 中 央 情 报 局 的 网 络 服务 器 ,将 其 主页 由 中 央 情 报 局 
改 为 “中 央 轧 春 局 ”。 

1996 年 12 月 29 日 ,黑客 侵入 美国 空军 的 全 球 网 网 址 并 将 其 主页 肆意 改动 ,其 中 有 关 空 
军 介绍 .新 闻 发 布 等 内 容 被 替换 成 一 段 简 短 的 黄色 录像 , 且 声 称 美国 政府 所 说 的 一 切 都 是 谎 
言 。 这 一 事件 迫使 美国 国防 部 一 度 关 闭 了 其 他 80 多 个 军 方 网 址 。 


3. 国内 案例 


1996 年 2 月 , 刚 开通 不 久 的 Chinanet 受到 攻击 , 且 攻 击 得 偿 。 

1997 年 初 ,北京 某 ISP 被 黑客 成 功 侵入 ,并 在 清华 大 学 “水 木 清华 ”BBS 站 的 “黑客 与 解 
密 ” 讨 论 区 张贴 有 关 如 何 免费 通过 该 ISP 进入 Internet 的 文章 。 

1997 年 4 月 23 日 ,美国 得 克 萨 斯 州 内 查 德 逊 地 区 西南 贝尔 互联 网 络 公司 的 某 个 PPP 
用 户 侵入 中 国 互 联网 络 信息 中 心 的 服务 器 ,破译 该 系统 的 shutdown 账户 ,把 中 国 互联 网 信 
息 中 心 的 主页 换 成 了 一 个 笑嘻嘻 的 髓 骨 头 。 
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1996 年 初 ,Chinanet 受到 某 高 校 的 一 个 研究 生 的 攻击 ;1996 年 秋 , 北 京 某 ISP 和 它 的 用 
户 发 生 了 一 些 了 矛盾, 此 用 户 便 攻击 该 ISP 的 服务 器 ,致使 服务 中 断 了 数 小 时 。 

2010 年 ,Google 发 布 公 告 退出 中 国 市 场 ,而 公告 中 称 : 造成 此 决定 的 重要 原因 是 
Google 被 黑客 攻击 。 


7.2 ”防火墙 技术 


古 时 候 , 人 们 常 在 寓所 之 间 砌 起 一 道 砖 墙 , 一 旦 火灾 发 生 , 它 能 够 防止 火势 蔓延 到 别 的 寓 
所 ,这 种 墙 被 命名 为 防火墙 "。 为 安全 起 见 , 可 以 在 本 网 络 和 Internet 之 间 插 和 一 个 中 介 系统 ， 
阻 断 来 自 外 部 通过 网 络 对 本 网 络 的 威胁 和 和 人 侵 , 这 种 中 介 系 统 叫 做 "防火墙 ", 如 图 7.2 所 示 。 


i 


图 72 Cisco ACE Web 应 用 防火 墙 


7.2.1 防火 墙 的 基本 概念 


防火 墙 是 由 软件 和 硬件 构成 的 系统 ,是 一 种 特殊 编程 的 路 由 器 ,用 来 在 两 个 网 络 之 间 实 
施 接 入 控制 策略 。 接 入 控制 策略 是 由 使 用 防火 墙 的 单位 自行 制订 的 ,以 适合 本 单位 的 需要 。 

Internet 防火 墙 是 增强 机 构 内 部 网 络 安全 性 的 系统 ,防火 墙 系统 决定 了 哪些 内 部 服务 可 
以 被 外 界 访问 ,外界 的 哪些 人 可 以 访问 内 部 的 哪些 服务 ,以 及 哪些 外 部 服务 可 以 被 内 部 人 员 
访问 。 要 使 一 个 防火 墙 有 效 , 所 有 来 自 和 去 往 Internet 的 信息 都 必须 经 过 防火 墙 , 接 受 防火 
墙 的 检查 。 防 火 墙 只 允许 授权 的 数据 通过 ,并 且 防 火 墙 本 身 也 必须 能 够 免 于 渗透 。 


1.JInternet 防火 墙 与 安全 策略 的 关系 


防火 墙 不 仅仅 是 路 由 器 \ 堡 又 主机 或 任何 网 络 安全 的 设备 的 组 合 ,还 是 安全 策略 的 一 个 
部 分 。 

安全 策略 建立 全 方位 的 防御 体系 ,包括 : 告诉 用 户 应 有 的 责任 ,公司 规定 的 网 络 访问 、 
服务 访问 ,本 地 和 远 地 的 用 户 认证 、 拨 入 和 拨 出 ` 磁 盘 和 数据 加 密 、 病 毒 防护 措施 ,以 及 雇员 
培训 等 。 所 有 可 能 受到 攻击 的 地 方 都 必须 以 相应 的 安全 级 别 加 以 保护 。 仅 仅 设立 防火 墙 系 
统 ,而 没有 全 面 的 安全 策略 ,防火 墙 就 形同虚设 。 

通常 ,防火 墙 采用 的 安全 策略 有 如 下 两 个 基本 准则 : 

(1) 一 切 未 被 允许 的 访问 就 是 禁止 的 。 

(2) 一 切 未 被 禁止 的 访问 就 是 允许 的 。 


2. 防火 墙 的 好 处 


防火 墙 负责 管理 Internet 和 机 构 内 部 网 络 之 间 的 访问 。 在 没有 防火 墙 时 ,内 部 网 络 上 
的 每 个 节点 都 暴露 给 Internet 上 的 其 他 主机 : 极 易 受到 攻击 。 这 就 意味 着 内 部 网 络 的 安全 
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性 要 由 每 一 个 主机 的 坚固 程度 来 决定 ,并 且 安 全 性 取决 于 其 中 最 弱 的 系统 。 
3. 防火 墙 的 作用 


防火 墙 允许 网 络 管理 员 定 义 一 个 中 心 “ 扼 制 点 "来 防止 非法 用 户 , 比 如 防止 黑客 和 网 络 
破坏 者 等 进入 内 部 网 络 。 禁 止 存在 安全 脆弱 性 的 服务 进出 网 络 ,并 抗击 来 自 各 种 路 线 的 攻 
击 。Internet 防火 墙 能 够 简化 安全 管理 ,网 络 的 安全 性 是 在 防火 墙 系统 上 得 到 加 固 , 而 不 是 
分 布 在 内 部 网 络 的 所 有 主机 上 。 

1) 防火 墙 的 功能 

防火 墙 的 功能 有 两 个 : 阻止 和 允许 。“ 阻 止 ? 就 是 阻止 某 种 类 型 的 通信 量 通 过 防火 墙 
(从 外 部 网 络 到 内 部 网 络 , 或 反 过 来 )。 “允许 ”的 功能 与 “阻止 "恰好 相反 。 

防火 墙 必须 能 够 识别 通信 量 的 各 种 类 型 。 不 过 在 大 多 数 情况 下 防火 墙 的 主要 功能 是 阻止。 

2) 连 网 监控 

在 防火 墙 上 可 以 很 方便 地 监视 网 络 的 安全 性 ,并 产生 报警 。( 注 意 : 对 一 个 与 Internet 
相连 的 内 部 网 络 来 说 ,重要 的 问题 并 不 是 网 络 是 否 会 受到 攻击 ,而 是 何 时 受到 攻击 , 谁 在 攻 
击 。) 网 络 管理 员 必须 审计 并 记录 所 有 通过 防火 墙 的 重要 信息 。 如 果 网 络 管理 员 不 能 及 时 响 
应 报警 并 审查 常规 记录 ,防火 墙 就 形同虚设 。 

Internet 防火 墙 是 审计 和 记录 Internet 使 用 量 的 一 个 最 佳 地 方 。 网 络 管理 员 可 以 在 此 
向 管理 部 门 提供 Internet 连接 的 费用 情况 , 查 出 潜在 的 带宽 瓶颈 的 位 置 ,并 根据 机 构 的 核算 
模式 提供 部 门 级 计 费 。 


4. 防火 墙 在 互连网 络 中 的 位 置 


防火 墙 内 的 网 络 称 为 可 信赖 的 网 络 (trusted network) ,而 将 外 部 的 因特网 称 为 不 可 信 
赖 的 网 络 (un-trusted network) ,如 图 7.3 所 示 。 


防火 墙 


,信箱 的 网 络 
于 1 


CC -内 部 网 络 ) 1/ 
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不 可 信箱 的 网 络 | 分 组 过 滤 “应 用 网 关 。 分 组 过 江 
路 由 器 路 由 器 


因特网 eg 6 


外 局 域 网 内 局 域 网 
图 73 防火 墙 在 互联 网 络 中 的 位 置 


防火 墙 可 用 来 解决 内 联网 和 外 联网 的 安全 问题 。 
7.2.2 ”防火墙 的 技术 类 别 
防火 墙 大 致 可 划分 为 3 类 : 包 过 滤 防 火 墙 .代理 服务 器 防火 墙 和 状态 监视 器 防火 墙 。 


1. 包 过 滤 防 火 墙 


1) 包 过 滤 防 火 墙 的 工作 原理 
采用 这 种 技术 的 防火 墙 产品 ,通过 在 网 络 中 的 适当 位 置 对 数据 包 进 行 过 滤 , 根 据 检查 数 
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据 流 中 每 个 数据 包 的 源 地 址 .目的 地 址 .所 有 的 TCP 端口 号 和 TCP 链 路 状态 等 要 素 , 然 后 
依据 一 组 预定 义 的 规则 ,以 允许 合乎 逻辑 的 数据 包 通 过 防火 墙 进入 到 内 部 网 络 ,而 将 不 合乎 
逻辑 的 数据 包 加 以 删除 。 

2) 包 过 滤 防 火 墙 的 优 缺 点 

包 过 滤 防 火 墙 最 大 的 优点 是 : 价格 较 低 ,对 用 户 透明 ,对 网 络 性 能 的 影响 很 小 ,速度 快 ， 
易于 维护 。 但 它 也 有 一 些 缺 点 : 包 过 滤 配 置 起 来 比较 复杂 ,对 IP 欺骗 式 攻击 比较 敏感 ,没有 
用 户 的 使 用 记录 ,这 样 就 不 能 从 访问 记录 中 发 现 黑客 的 攻击 记录 。 而 攻击 一 个 单纯 的 包 过 
滤 式 的 防火 墙 对 黑客 来 说 是 比较 容易 的 。 


2. 代理 服务 器 防火 墙 


1) 代理 服务 器 防火 墙 的 工作 原理 

代理 服务 器 运行 在 两 个 网 络 之 间 , 它 对 于 客户 来 说 像 是 一 台 真正 的 服务 器 ,而 对 于 外 界 
的 服务 器 来 说 , 它 又 是 一 台 客户 机 。 当 代理 服务 器 接收 到 用 户 的 请 求 后 ,会 检查 用 户 请 求 的 
站 点 是 否 符合 公司 的 要 求 , 如 果 公 司 允 许 用 户 访问 该 站 点 ,代理 服务 器 会 像 一 个 客户 一 样 去 
该 站 点 取 回 所 需 信息 ,再 转发 给 客户 。 

2) 代理 服务 器 防火 墙 的 优 缺 点 

优点 : 可 以 将 被 保护 的 网 络 内 部 结构 屏蔽 起 来 ,增强 网 络 的 安全 性 ;可 用 于 实施 较 强 的 
数据 流 监控 、 过 滤 、 记 录 和 报告 等 。 

缺点 : 使 访问 速度 变 慢 , 因 为 它 不 允许 用 户 直 接 访问 网 络 ; 应 用 级 网 关 需 要 针对 每 一 个 
特定 的 Internet 服务 安装 相应 的 代理 服务 器 软件 ,这 会 带 来 兼容 性 问题 。 


3. 状态 监视 器 防火 墙 


1) 状态 监视 器 防火 墙 的 工作 原理 

这 种 防火 墙 安全 特性 较 好 , 它 采 用 了 一 个 在 网 关上 执行 网 络 安全 策略 的 软件 引擎 , 称 为 
检测 模块 。 检 测 模块 在 不 影响 网 络 正常 工作 的 前 提 下 ,采用 抽取 相关 数据 的 方法 对 网 络 通 
信 的 各 层 实施 监测 ,抽取 部 分 数据 , 即 状态 信息 ,并 动态 地 保存 起 来 ,作为 以 后 指定 安全 策略 
的 参考 。 

2) 状态 监视 器 防火 墙 的 优 缺 点 

优点 : 检测 模块 支持 多 种 协议 和 应 用 程序 ,并 可 以 很 容易 地 实现 应 用 和 服务 的 扩充 ; 它 
会 监测 RPC 和 UDP 之 类 的 端口 信息 ,而 包 过 滤 和 代理 服务 器 都 不 支持 此 类 端口 ;防范 攻击 
比较 坚固 。 

缺点 : 配置 非常 复杂 ,会 降低 网 络 的 速度 。 


7.2.3 ”防火墙 的 结构 


在 防火 墙 与 网 络 的 配置 上 ,有 以 下 3 种 典型 结构 : 双 宿 /多 宿主 机 模式 、 屏 项 主机 模式 
和 屏蔽 子 网 模式 。 

在 介绍 这 几 种 结构 前 , 先 了 解 一 下 堡 驹 主机 (bastion host) 的 概念 。 堡 人 又 主机 是 一 种 配 
置 了 较为 全 面 的 安全 防范 措施 的 网 络 上 的 计算 机 ,从 网 络 安全 上 来 看 ,堡垒 主机 是 防火 墙 管 
理 员 认 为 最 强壮 的 系统 。 通 常情 况 下 , 堡 从 主机 可 作为 代理 服务 器 的 平台 。 
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1. 双 宿 /多 宿主 机 模式 


双 窒 /多 宿主 机 防火 墙 (dual-homed/multi-homed firewall) 是 一 种 拥有 两 个 或 多 个 连接 
到 不 同 网 络 上 的 网 络 接口 的 防火 墙 ,通常 用 一 台 装 有 两 块 或 多 块 网 卡 的 保 垒 主机 做 防火 墙 ， 
两 块 或 多 块 网 卡 各 自 与 受 保护 网 和 外 部 网 相连 。 这 种 防火 墙 的 特点 是 : 主机 的 路 由 功能 是 
被 禁止 的 ,两 个 网 络 之 间 的 通信 通过 应 用 层 代 理 服务 来 完成 。 如 果 黑 客 侵入 堡垒 主机 并 使 
其 具有 路 由 功能 ,那么 防火 墙 将 变 得 无 用 。 

双 宿 主机 体系 结构 是 围绕 具有 双重 宿主 的 主机 计算 机 而 构筑 的 ,该 计算 机 至 少 有 
两 个 网 络 接口 。 这 样 的 主机 可 以 充当 与 这 些 接 口 相 连 的 网 络 之 间 的 路 由 器 , 它 能 够 从 
一 个 网 络 到 另 一 个 网 络 发 送 IP 数据 包 。 然 而 ,实现 双 宿 主机 的 防火 墙 体 系 结构 禁止 这 
种 发 送 功能 。 因 而 , 耻 数 据 包 从 一 个 网 络 ( 例 如 外 部 网 ) 并 不 是 直接 发 送 到 其 他 网 络 
(例如 内 部 的 被 保护 的 网 络 )。 防 火 墙 内 部 的 系统 能 与 双 宿 主机 通信 ,同时 防火 墙 外 部 
的 系统 也 能 与 双 宿主 机 通信 ,但 是 这 些 系统 不 能 直接 互相 通信 ,它们 之 间 的 IP 通信 被 
完全 阻止 。 

双 宿 主机 的 防火 墙 体系 结构 是 相当 简单 的 : 双 宿 主机 位 于 外 部 网 络 和 内 部 网 络 之 间 ， 
并 且 与 两 者 相连 ,如 图 7.4 所 示 。 


(® 
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图 74 双 宿 主机 体系 结构 


2. 屏蔽 主机 模式 


屏蔽 主机 防火 墙 Cscreened firewall) 由 包 过 滤 路 由 器 和 堡垒 主机 组 成 。 在 这 种 模式 的 防 
火 墙 中 ,堡垒 主机 安装 在 内 部 网 络 上 ,通常 在 路 由 器 上 设立 过 滤 规 则 ,并 使 这 个 堡垒 主机 成 
为 外 部 网 络 唯一 可 直接 到 达 的 主机 ,这 保证 了 内 部 网 络 不 会 受到 未 经 授权 的 外 部 用 户 的 攻 
击 。 屏 蔽 主机 防火 墙 实现 了 网 络 层 和 应 用 层 的 安全 ,因而 比 单独 的 包 过 滤 或 应 用 网 关 代 理 
更 安全 。 在 这 一 方式 下 ,过 滤 路 由 器 是 否 配置 正确 是 防火 墙 安全 与 否 的 关键 ,如 果 路 由 表 遭 
到 破坏 ,堡垒 主机 就 可 能 被 越过 ,使 内 部 网 络 完全 暴露 。 

双 宿主 机 体系 结构 提供 来 自 与 多 个 网 络 相连 的 主机 的 服务 (但 是 路 由 关闭 ) ,而 屏蔽 主 
机 体系 结构 使 用 一 个 单独 的 路 由 器 提供 来 自 仅 仅 与 内 部 网 络 相连 的 主机 的 服务 。 在 这 种 体 
系 结构 中 ,主要 的 安全 由 数据 包 过 滤 提 供 ( 例 如 ,数据 包 过 滤 用 于 防止 人 们 绕 过 代理 服务 器 
直接 相连 ) ,如 图 7.5 和 图 7.6 所 示 。 


堡 全 主机 
下 PC 
友 到 
路 由 器 -一 一 
Web 服 务 器 PC PC 


图 75 单 地 址 堡垒 主机 
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76 双 地 址 堡垒 主机 


多 数 情况 下 ,被 屏蔽 的 主机 体系 结构 提供 比 双 宿主 机 体系 结构 更 好 的 安全 性 和 可 
用 性 。 


3. 屏蔽 子 网 模式 


屏蔽 子 网 防火 墙 (screened subnet mode firewall) 的 配置 如 图 7.7 所 示 , 采 用 了 两 个 包 
过 滤 路 由 器 和 一 个 堡垒 主机 ,在 内 外 网 络 之 间 建 立 了 一 个 被 隔离 的 子 网 ,定义 为 " 非 军事 区 ” 
(demilitarized zone) 网 络 , 有 时 也 称 作 周边 网 (perimeter network)。 网 络 管理 员 将 保 垒 主 
机 、Web 服务 器 和 E-mail 服务 器 等 公用 服务 器 放 在 非 军 事 区 网 络 中 。 内 部 网 络 和 外 部 网 络 
均 可 访问 屏蔽 子 网 ,但 禁止 它们 穿 过 屏蔽 子 网 通信 。 在 这 一 配置 中 ,即使 保 垒 主机 被 人 侵 者 
控制 ,内 部 网 仍 受到 内 部 包 过 滤 路 由 器 的 保护 。 

屏蔽 子 网 体系 结构 通过 添加 额外 的 安全 层次 到 被 屏蔽 主机 体系 结构 , 即 通过 添加 周边 
网 络 更 进一步 地 把 内 部 网 络 与 Internet 隔离 开 。 在 这 种 结构 下 ,即使 攻破 了 堡垒 主机 ,也 不 
能 直接 侵入 内 部 网 络 (仍然 必须 通过 内 部 路 由 器 ) ,如 图 7.7 所 示 。 


堡垒 主机 
并 内 部 
Internet a a (GE) 
Web 服 务 器 


图 77 屏蔽 子 网 体系 结构 


屏蔽 子 网 体系 结构 的 最 简单 的 形式 为 : 两 个 屏蔽 路 由 器 ,每 一 个 都 连接 到 周边 网 络 ,一 
个 位 于 周边 网 络 与 内 部 网 络 之 间 , 另 一 个 位 于 周边 网 络 与 外 部 网 络 之 间 ( 通 常 为 Internet) 。 
为 了 侵入 用 这 种 类 型 的 体系 结构 构筑 的 内 部 网 络 , 侵 袭 者 必须 通过 两 个 路 由 器 。 即 使 侵袭 
者 设法 侵入 堡垒 主机 ,将 仍然 必须 通过 内 部 路 由 器 。 

建造 防火 墙 时 ,一般 很 少 采 用 单一 的 技术 ,通常 是 解决 不 同 问题 的 多 种 技术 的 组 合 。 这 
种 组 合 主要 取决 于 网 管 中 心 向 用 户 提供 什么 样 的 服务 ,以 及 网 管 中 心 能 接受 什么 等 级 的 风 
险 。 采 用 哪 种 技术 主要 取决 于 经 费 、 投 资 的 大 小 或 技术 人 员 的 技术 .时 间 等 因素 。 

通常 建立 防火 墙 的 目的 在 于 保护 内 部 网 络 免 受 外 部 网 络 的 侵扰 ,但 内 部 网 络 中 每 个 用 
户 所 需要 的 服务 和 信息 经 常 是 不 一 样 的 ,它们 对 安全 保障 的 要 求 也 不 一 样 。 例 如 ,财务 部 分 
与 其 他 部 分 分 开 , 人 事 档 案 部 分 与 办 公 管理 分 开 等 。 还 需要 对 内 部 网 络 的 部 分 站 点 再 加 以 
保护 以 免 受 内 部 的 其 他 站 点 的 侵袭 , 即 在 同一 组 织 结构 的 两 个 部 分 之 间 ,或 者 在 同一 内 部 网 
的 两 个 不 同 组 织 结构 之 间 再 建立 防火 墙 ,也 就 是 内 部 防火 墙 。 许 多 用 于 建立 外 部 防火 墙 的 
工具 与 技术 也 可 用 于 建立 内 部 防火 墙 。 
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7.2.4 防火 墙 产品 选 购 策略 和 使 用 


1. 常见 防火 墙 产品 


随 着 国内 安全 市 场 的 兴旺 ,防火 墙 产 品 也 层出不穷 。 国 外 较 好 的 有 Checkpoint 
Firewall( 美 国 知名 品牌 ) 和 Net Screen( 完 全 基于 硬件 的 产品 ) ,国内 产品 中 较 好 的 有 天 融 信 
网 络 卫士 、 东 大 阿尔 派 网 眼 ( 适 用 于 交换 路 由 双环 境 ) 和 清华 紫光 Unis Firewall( 定 位 于 大 型 
ISP) 等 。 


2. 防火 墙 的 选 购 策略 


在 购买 防火 墙 时 要 注意 以 下 策略 : 

(1) 要 知道 防火 墙 的 最 基本 性 能 。 

(2) 选 购 防火 墙 前 ,还 应 认真 制定 安全 政策 ,也 就 是 要 制定 一 个 周密 计划 。 
(3) 在 满足 实用 性 和 安全 性 的 基础 上 ,还 要 考虑 经 济 性 。 


3. 防火 墙 的 使 用 


不 同类 型 的 防火 墙 在 不 同 网 络 系统 中 所 起 的 作用 也 不 同 , 一 些 防火 墙 在 同一 网 络 系统 
中 的 不 同位 置 所 起 的 作用 也 不 同 ,所 以 防火 墙 的 安装 要 由 软件 提供 商 来 指导 ,并 对 网 络 管理 
员 进 行 培训 。 防 火 墙 的 部 署 如 图 7. 8 所 示 。 


邮件 中 继 服 务 器 
MailRelay 


Internet 防火 墙 防火 墙 DMZ 区 


商 序 洲 状 让 始 


邮件 服务 器 
(内 网 ) 


办 公 内 网 区 网 络 工作 站 


图 78 防火 墙 的 部 署 


在 日 常 的 使 用 中 ,要 注意 实施 定时 的 扫描 和 检查 ,发现 系统 有 问题 及 时 排除 故障 和 恢复 
系统 ;保证 系统 监控 及 防火 墙 之 间 的 通信 线路 能 够 畅通 无 阻 ;全 天 候 对 主机 系统 进行 监控 、 
管理 和 维护 。 


4. 防火 墙 技 术 的 发 展 方向 


目前 防火 墙 在 安全 性 ,效率 和 功能 方面 还 存在 一 定 矛 盾 。 防 火 墙 的 技术 结构 ,一 般 来 说 
安全 性 高 的 效率 较 低 , 或 者 效率 高 的 安全 性 较 差 。 未 来 的 防火 墙 应 该 既 有 高 安全 性 又 有 高 
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效率 。 重 新 设计 技术 架构 ,比如 在 包 过 滤 中 引入 鉴别 授权 机 制 、 复 变 包 过 滤 、 虚 拟 专用 防火 
墙 和 多 级 防火 墙 等 将 是 未 来 可 能 发 展 的 方向 。 


7.3 入 侵 检 测 


入 侵 检测 (intrusion detection) 是 对 入 侵 行为 的 检测 。 它 通过 收集 和 分 析 网 络 行为 、 安 
全 日 志 、 审 计数 据 、 其 他 网 络 上 可 以 获得 的 信息 以 及 计算 机 系统 中 若干 关键 点 的 信息 ,检查 
网 络 或 系统 中 是 否 存在 违反 安全 策略 的 行为 和 被 攻击 的 迹象 。 入 侵 检 测 作为 一 种 积极 主动 
的 安全 防护 技术 ,提供 了 对 内 部 攻击 、 外 部 攻击 和 误 操 作 的 
实时 保护 ,在 网 络 系统 受到 危害 之 前 拦截 和 响应 人 侵 。 常 
见 的 入 侵 检测 系统 设备 如 图 7.9 所 示 。 
入 侵 检测 被 认为 是 防火 墙 之 后 的 第 二 道 安 全 闸门 
在 不 影响 网 络 性 能 的 情况 下 能 对 网 络 进行 监测 。 入 侵 检 
图 79 入侵 检 测 系统 设备 。 测 是 防火 墙 的 合理 补充 ,帮助 系统 对 付 网 络 攻击 ,扩展 了 
系统 管理 员 的 安全 管理 能 力 (包括 安全 审计 、 监 视 . 进 攻 
识别 和 响应 ) ,提高 了 信息 安全 基础 结构 的 完整 性 。 它 从 计算 机 网 络 系统 中 的 若干 关键 点 
收集 信息 ,并 分 析 这 些 信 息 ,以 判断 网 络 中 是 否 有 违反 安全 策略 的 行为 和 但 到 袭击 的 
迹象 。 


7.3.1 人 侵 检测 技术 


入 侵 检测 技术 是 为 保证 计算 机 系统 的 安全 而 设计 与 配置 的 一 种 能 够 及 时 发 现 并 报告 系 
统 中 未 授权 或 异常 现象 的 技术 ,是 一 种 用 于 检测 计算 机 网 络 中 违反 安全 策略 行为 的 技术 。 
进行 人 侵 检测 的 软件 与 硬件 的 组 合 便 是 入 侵 检测 系统 。 

入 侵 检 测 系统 所 采用 的 技术 可 分 为 特征 检测 与 异常 检测 两 种 。 


1. 特征 检测 


特征 检测 (signature-based detection) 又 称 为 misuse detection, 这 一 检测 假设 入 侵 者 活 
动 可 以 用 一 种 模式 来 表示 ,系统 的 目标 是 检测 主体 活动 是 否 符合 这 些 模式 。 它 可 以 将 已 有 
的 入 侵 方 法 检查 出 来 ,但 对 新 的 入 侵 方 法 无 能 为 力 。 其 难点 在 于 如 何 设计 模式 ,使 其 既 能 够 
表达 “入 侵 ” 现 象 ,又 不 会 将 正常 的 活动 包含 进来 。 

2. 异常 检测 

异常 检测 (anomaly detection) 的 假设 是 入 侵 者 活动 异常 于 正常 主体 的 活动 。 根 据 这 
一 理念 建立 主体 正常 活动 的 “活动 简 档 ” ,将 当前 主体 的 活动 状况 与 “活动 简 档 ? 相 比 
较 , 当 违反 其 统计 规律 时 ,认为 该 活动 可 能 是 入侵 行为 。 异 常 检测 的 难题 在 于 如 何 建立 
“活动 简 档 ”以 及 如 何 设 计 统 计算 法 ,从 而 不 会 把 正常 的 操作 作为 人 侵 或 忽略 了 真正 的 
入 侵 行为 。 
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7.3.2 人 侵 检 测 系统 


入 侵 检 测 系 统 (Intrusion-Detection System,IDS) 是 一 种 对 网 络 传输 进行 即时 监视 ,在 
发 现 可 疑 传 输 时 发 出 警报 或 者 采取 主动 反应 措施 的 网 络 安全 设备 。 它 与 其 他 网 络 安全 设备 
的 不 同 之 处 在 于 , 它 是 一 种 积极 主动 的 安全 防护 技术 。 


1. IDS 概述 


IDS 最 早出 现在 1980 年 4 月 James P. Anderson 为 美国 空军 做 的 一 份 题 为 Computer 
Security Threat Monitoring and Surveillance 的 技术 报告 ,在 其 中 他 提出 了 IDS 的 概念 。 
20 世纪 80 年 代 中 期 ,IDS 逐渐 发 展 成 为 人 侵 检 测 专 家 系统 (IDES) 。1990 年 ,IDS 分 化 为 基 
于 网 络 的 IDS 和 基于 主机 的 IDS。 以 后 又 出 现 了 分 布 式 IDS。 目 前 ,IDS 发 展 迅 速 ,已 有 人 
宣称 IDS 可 以 完全 取代 防火 墙 。 

做 一 个 形象 的 比喻 : 假如 防火 墙 是 一 幢 大 楼 的 门卫 ,那么 IDS 就 是 这 峡 大 楼 里 的 监视 
系统 。 一 旦 小 偷 聆 窗 进入 大 楼 ,或 内 部 人 员 有 越界 行为 ,只 有 实时 监视 系统 才能 发 现 情况 并 
发 出 警告 。IDS 根据 信息 来 源 的 不 同和 检测 方法 的 差异 分 为 几 类 。 根 据 信息 来 源 ( 或 检测 
对 象 ) 可 分 为 基于 主机 的 IDS 和 基于 网 络 的 IDS, 根 据 检 测 方法 又 可 分 为 异常 人 侵 检 测 和 滥 
用 入 侵 检测 。 

不 同 于 防火 墙 的 是 ,IDS 是 一 个 监听 设备 ,没有 跨 接 在 任何 链 路 上 ,无 须 网 络 流量 流 经 
它 便 可 以 工作 。IDS 的 结构 如 图 7. 10 所 示 。 


Cm) 
~ 
一 


IDS 控 制 台 


IDS 控 制 台 旧 


Intranet 


图 710 IDS 网 络 监听 


因此 ,对 IDS 部 署 的 唯一 要 求 是 : IDS 应 当 挂 接 在 所 有 所 关注 流量 都 必须 流 经 的 链 路 
上 。 在 这 里 ,“ 所 关注 流量 ” 指 的 是 来 自 高 危 网 络 区 域 的 访问 流量 和 需要 进行 统计 和 监视 的 
网 络 报 文 。 在 如 今 的 网 络 拓 扑 中 已 经 很 难 找到 以 前 的 Hub 式 的 共享 介质 冲突 域 的 网 络 , 绝 


175 


YN 
RN 


物 联 网 安全 导论 


大 部 分 的 网 络 区 域 都 已 经 全 面 升级 到 交换 式 的 网 络 结构 。 因 此 ,IDS 在 交换 式 网 络 中 的 位 
置 一 般 选 择 在 : 

(1) 尽 可 能 靠近 攻击 源 ; 

(2) 尽 可 能 靠近 受 保护 资源 。 

这 些 位 置 通常 是 : 

(1) 服务 器 区 域 的 交换 机 上 ; 

(2) Internet 接 入 路 由 器 之 后 的 第 一 台 交 换 机 上 ; 

(3) 重点 保护 网 段 的 局 域 网 交换 机 上 。 


2. 系统 组 成 


一 个 人 侵 检测 系统 分 为 4 个 组 件 : 事件 产生 器 (event generators) .事件 分 析 器 (event 
analyzers) ,响应 单元 (response units) 和 事件 数据 库 (event databases) 。 

事件 产生 器 的 目的 是 从 整个 计算 环境 中 获得 事件 ,并 向 系统 的 其 他 部 分 提供 此 事件 。 事 
件 分 析 器 分 析 得 到 的 数据 ,并 产生 分 析 结果 。 响 应 单元 则 是 对 分 析 结 果 作 出 反应 的 功能 单元 ， 
它 可 以 做 出 切断 连接 ,改变 文件 属性 等 强烈 反应 ,也 可 以 只 是 简单 地 报警 。 事 件数 据 库 是 存放 
各 种 中 间 和 最 终 数据 的 地 方 的 统称 , 它 可 以 是 复杂 的 数据 库 , 也 可 以 是 简单 的 文本 文件 。 


7.3.3 ”人 侵 检 测 系统 的 工作 步 又 


对 一 个 成 功 的 入 侵 检 测 系统 来 讲 , 它 不 但 可 使 系统 管理 员 时 刻 了 解 网 络 系 统 ( 包 括 程 
序 文件 和 硬件 设备 等 ) 的 任何 变更 ,还 能 给 网 络 安全 策略 的 制订 提供 指南 。 更 为 重要 的 是 ， 
它 应 该 管理 ,配置 简单 ,从 而 使 非 专业 人 员 非 常 容 易 地 获得 网 络 安全 。 而 且 , 入 侵 检 测 的 规 
模 还 应 根据 网 络 威胁 .系统 构造 和 安全 需求 的 改变 而 改变 。 入 侵 检测 系统 在 发 现 人 侵 后 ,会 
及 时 做 出 响应 ,包括 切断 网 络 连接 .记录 事件 和 报警 等 。 


1. 信息 收集 


入 侵 检测 的 第 一 步 是 信息 收集 ,内 容 包括 系统 网络、 数据 及 用 户 活 动 的 状态 和 行为 。 
而 且 , 需 要 在 计算 机 网 络 系统 中 的 若干 不 同 关键 点 (不 同 网 段 和 不 同 主机 ) 收 集 信 息 , 这 除了 
尽 可 能 扩大 检测 范围 的 因素 外 ,还 有 一 个 重要 的 因素 就 是 从 一 个 源 点 来 的 信息 有 可 能 看 不 
出 疑点 ,但 从 几 个 源 点 来 的 信息 的 不 一 致 性 却 是 可 疑 行为 或 入 侵 的 最 好 标识 。 

当然 ,入侵 检测 很 大 程度 上 依赖 于 收集 信息 的 可 靠 性 和 正确 性 ,因此 ,很 有 必要 只 利用 
所 知道 的 真正 的 和 精确 的 软件 来 报告 这 些 信息 。 因 为 黑客 经 常 替换 软件 以 搞 混 合 移 走 这 些 
信息 ,例如 替换 被 程序 调用 的 子 程序 、 库 和 其 他 工具 。 黑 客 对 系统 的 修改 可 能 使 系统 功能 失 
常 , 却 看 起 来 跟 正常 的 一 样 。 例 如 ,UNIX 系统 的 PS 指令 可 以 被 替换 为 一 个 不 显示 入侵 过 
程 的 指令 ,或 者 是 编辑 器 被 替换 成 一 个 读 取 不 同 于 指定 文件 的 文件 (黑客 隐藏 了 初始 文件 并 
用 另 一 版 本 代替 ) 。 这 需要 保证 用 来 检测 网 络 系统 的 软件 的 完整 性 ,特别 是 入 侵 检 测 系统 软 
件 本 身 应 具有 相当 强 的 坚固 性 ,防止 被 自 改 而 收集 到 错误 的 信息 。 

1) 系统 和 网 络 日 志文 件 

黑客 经 常 在 系统 和 网 络 日 志和 网 络 文件 中 留 下 他 们 的 踪迹 ,因此 ,充分 利用 日 志文 件 信 
息 是 检测 人 侵 的 必要 条 件 。 日 志 中 包含 发 生 在 系统 和 网 络 上 的 不 寻常 和 不 期 望 的 活动 的 证 
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据 , 这 些 证 据 可 以 指出 有 人 正在 入侵 或 已 成 功 人 侵 了 系统 。 通 过 查看 日 志文 件 ,能 够 发 现成 
功 的 入侵 或 人 侵 企图 ,并 很 快 地 启动 相应 的 应 急 响 应 程序 。 日 志文 件 中 记录 了 各 种 行为 类 
型 ,每 种 类 型 又 包含 不 同 的 信息 ,例如 ,记录 “用 户 活动 ”类 型 的 日 志 , 就 包含 登录 、 用 户 ID 改 
变 、 用 户 对 文件 的 访问 ,授权 和 认证 信息 等 内 容 。 很 显然 ,对 用 户 活动 来 讲 , 不 正常 的 或 不 期 
望 的 行为 就 是 重复 登录 失败 、 登 录 到 不 期 望 的 位 置 以 及 非 授 权 的 企图 访问 重要 文件 等 。 

2) 目录 和 文件 中 的 不 期 望 的 改变 

网 络 环境 中 的 文件 系统 包含 很 多 软件 和 数据 文件 ,包含 重要 信息 的 文件 和 私有 数据 文 
件 经 常 是 黑客 修改 或 破坏 的 目标 。 目 录 和 文件 中 的 不 期 望 的 改变 (包括 修改 ,创建 和 删除 )， 
特别 是 那些 正常 情况 下 限制 访问 的 ,很 可 能 就 是 一 种 人 侵 产生 的 指示 和 信号 。 黑 客 经 常 蔡 
换 、 修 改 和 破坏 他 们 获得 访问 权 的 系统 上 的 文件 ,同时 为 了 隐藏 系统 中 有 关 他 们 的 表现 及 活 
动 的 痕迹 ,都 会 尽力 去 蔡 换 系统 程序 或 修改 系统 日 志文 件 。 

3) 程序 执行 中 的 不 期 望 的 行为 

网 络 系统 上 的 程序 执行 一 般 包括 操作 系统 、 网 络 服务 .用户 起 动 的 程序 和 特定 目的 的 应 
用 ,例如 数据 库 服务 器 。 每 个 在 系统 上 执行 的 程序 由 一 到 多 个 进程 来 实现 。 每 个 进程 执行 
在 具有 不 同 权限 的 环境 中 ,这 种 环境 控制 着 进程 可 访问 的 系统 资源 ,程序 和 数据 文件 等 。 一 
个 进程 的 执行 行为 由 它 运行 时 执行 的 操作 来 表现 ,操作 执行 的 方式 不 同 , 它 利用 的 系统 资源 
也 就 不 同 。 操 作 包 括 计算 ,文件 传输 ,设备 和 其 他 进程 ,以 及 与 网 络 间 其 他 进程 的 通信 。 

一 个 进程 出 现 了 不 期 望 的 行为 可 能 表明 黑客 正在 入 侵 你 的 系统 。 黑 客 可 能 会 将 程序 或 
服务 的 运行 进行 分 解 ,从 而 导致 它 失 败 , 或 者 是 以 非 用 户 或 管理 员 意 图 的 方式 操作 。 

4) 物理 形式 的 入 侵 信息 

这 包括 两 个 方面 的 内 容 , 一 是 未 授权 的 对 网 络 硬件 的 连接 ,二 是 对 物理 资源 的 未 授权 访 
问 。 黑 客 会 想方设法 去 突破 网 络 的 周边 防卫 ,如 果 他 们 能 够 在 物理 上 访问 内 部 网 ,就 能 安装 
他 们 自己 的 设备 和 软件 。 依 此 ,黑客 就 可 以 知道 网 上 的 由 用 户 加 上 去 的 不 安全 (未 授权 ) 设 
备 ,然后 利用 这 些 设备 访问 网 络 。 例 如 ,用 户 在 家 里 可 能 安装 Modem 以 访问 远程 办 公 室 , 与 
此 同时 黑客 正在 利用 自动 工具 来 识别 在 公共 电话 线 上 的 Modem, 如果 一 个 拨号 访问 流量 经 
过 了 这 些 自动 工具 ,那么 这 一 拨号 访问 就 成 为 威胁 网 络 安 全 的 后 门 。 黑 客 就 会 利用 这 个 后 
门 来 访问 内 部 网 ,从 而 越过 内 部 网 络 原 有 的 防护 措施 ,然后 捕获 网 络 流量 ,进而 攻击 其 他 系 
统 , 并 偷 取 敏感 的 私有 信息 等 。 


2. 信号 分 析 


对 上 述 4 类 收集 到 的 有 关系 统 、 网 络 .数据 及 用 户 活动 的 状态 和 行为 等 信息 ,一般 通过 3 
种 技术 手段 进行 分 析 : 模式 匹配 ,统计 分 析 和 完整 性 分 析 。 其 中 ,前 两 种 方法 用 于 实时 的 入 
侵 检 测 ,而 第 3 种 方法 则 用 于 事后 分 析 。 

1) 模式 匹配 

模式 匹配 就 是 将 收集 到 的 信息 与 已 知 的 网 络 入 侵 和 系统 误 用 模式 数据 库 进行 比较 ,从 
而 发 现 违背 安全 策略 的 行为 。 该 过 程 可 以 很 简单 (如 通过 字符 串 匹配 以 寻找 一 个 简单 的 条 
目 或 指令 ), 也 可 以 很 复杂 (如 利用 正规 的 数学 表达 式 来 表示 安全 状态 的 变化 )。 一 般 来 说 ， 
一 种 进攻 模式 可 以 用 一 个 过 程 ( 如 执行 一 条 指令 ) 或 一 个 输出 (如 获得 权限 ) 来 表示 。 该 方法 
的 一 大 优点 是 只 需 收集 相关 的 数据 集合 ,显著 减少 系统 负担 ,上 且 技术 已 相当 成 熟 。 它 与 病毒 
防火 墙 采用 的 方法 一 样 , 检 测 准 确 率 和 效率 都 相当 高 。 该 方法 存在 的 弱点 是 需要 不 断 地 升 
级 以 对 付 不 断 出 现 的 黑客 攻击 手法 ,不 能 检测 到 从 未 出 现 过 的 黑客 攻击 手段 。 
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2) 统计 分 析 

统计 分 析 方 法 首先 给 系统 对 象 (如 用 户 文件 .目录 和 设备 等 ) 创 建 一 个 统计 描述 ,统计 正 
常 使 用 时 的 一 些 测量 属性 (如 访问 次 数 ,操作 失败 次 数 和 延 时 等 )。 测 量 属 性 的 平均 值 将 被 用 
来 与 网 络 或 系统 的 行为 进行 比较 ,任何 观察 值 在 正常 值 范围 之 外 时 ,就 认为 有 入 侵 发 生 。 例 
如 ,统计 分 析 可 能 标识 一 个 不 正常 行为 ,因为 它 发 现 一 个 在 晚 8 点 至 早 6 点 没有 登录 的 账户 却 
在 凌晨 2 点 试图 登录 。 其 优点 是 可 检测 到 未 知 的 和 人 侵 和 更 为 复杂 的 人 侵 ,缺点 是 误 报 和 漏 报 
率 高 , 且 不 适应 用 户 正常 行为 的 突然 改变 。 具 体 的 统计 分 析 方 法 有 基于 专家 系统 的 .基于 模型 
推理 的 和 基于 神经 网 络 的 分 析 方法 等 ,目前 正 处 于 研究 热点 和 迅速 发 展 之 中 。 

3) 完整 性 分 析 

完整 性 分 析 主 要 关注 某 个 文件 或 对 象 是 否 被 更 改 , 这 经 常 包 括 文件 和 目录 的 内 容 及 属 
性 , 它 在 发 现 被 更 改 的 、 被 病毒 侵入 的 应 用 程序 方面 特别 有 效 。 完 整 性 分 析 利 用 强 有 力 的 加 
密 机 制 , 称 为 消息 摘要 函数 (例如 MD5), 它 能 识别 哪怕 是 微小 的 变化 。 其 优点 是 不 管 模式 
匹配 方法 和 统计 分 析 方 法 能 否 发 现 入 侵 ,只 要 是 成 功 的 攻击 导致 了 文件 或 其 他 对 象 的 任何 
改变 , 它 都 能 够 发 现 。 其 缺点 是 一 般 以 批 处 理 方式 实现 ,不 能 用 于 实时 响应 。 尽 管 如 此 , 完 
整 性 检测 方法 还 应 该 是 网 络 安全 产品 的 必要 手段 之 一 。 例 如 ,可 以 在 每 一 天 的 某 个 特定 时 
间 内 开启 完整 性 分 析 模 块 ,对 网 络 系统 进行 全 面 的 扫描 检查 。 


7.3.4 人 侵 检测 系统 的 典型 代表 


入侵 检测 系统 的 典型 代表 是 ISS 公司 (国际 互联 网 安全 系统 公司 ) 的 Real Secure。 由 于 
入 侵 检 测 系 统 的 市 场 在 近 几 年 中 飞速 发 展 , 许 多 公司 投入 到 这 一 领域 中 来 。Venustech( 启 
明星 展 ) Internet Security System(ISS)` 思科 和 赛 门 铁 克 等 公司 都 推出 了 自己 的 产品 。 它 
是 计算 机 网 络 上 自动 实时 的 入侵 检测 和 响应 系统 。 它 无 妨碍 地 监控 网 络 传输 并 自动 检测 和 
响应 可 疑 的 行为 ,在 系统 受到 危害 之 前 截取 和 响应 安全 漏洞 和 内 部 误 用 ,从 而 最 大 限度 地 为 
企业 网 络 提供 安全 。 

入 侵 检测 作为 一 种 积极 主动 的 安全 防护 技术 ,提供 了 对 内 部 攻击 、 外 部 攻击 和 误 操 作 的 
实时 保护 ,能 够 在 网 络 系统 受到 危害 之 前 拦截 和 响应 人 侵 。 从 网 络 安全 立体 纵深 、 多 层次 防 
御 的 角度 出 发 ,入 侵 检 测 理应 受到 人 们 的 高 度 重 视 , 这 从 国外 入 侵 检 测 产品 市 场 的 攻 勃 发 展 
就 可 以 看 出 。 在 国内 , 随 着 上 网 的 关键 部 门 和 关键 业务 越 来 越 多 ,迫切 需要 具有 自主 版 权 的 
入 侵 检测 产品 。 但 现状 是 入 侵 检 测 仅仅 停留 在 研究 和 实验 样品 (缺乏 升级 和 服务 ) 阶 段 ,或 
者 是 防火 墙 中 集成 较为 初级 的 入侵 检测 模块 。 可 见 , 入 侵 检测 产品 仍 具有 较 大 的 发 展 空间 ， 
从 技术 途径 来 讲 , 除 了 完善 常规 的 ,传统 的 技术 (模式 识别 和 完整 性 检测 ) 外 ,应 重点 加 强 统 
计 分 析 的 相关 技术 研究 。 


7.4 身份 验证 


7.4.1 身份 验证 的 基本 概念 


身份 验证 是 指 通过 一 定 的 手段 完成 对 用 户 身份 的 确认 。 
身份 验证 的 目的 是 确认 当前 所 声称 为 某 种 身份 的 用 户 确实 是 所 声称 的 用 户 。 在 日 常生 
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活 中 ,身份 验证 并 不 罕见 ,比如 ,通过 检查 对 方 的 证 件 ,我 们 一 般 可 以 确认 对 方 的 身份 ,但 * 身 
份 验证 ”一 词 更 多 地 被 用 在 计算 机 和 通信 等 领域 。 

身份 验证 的 方法 有 很 多 ,基本 上 可 分 为 基于 共享 密 钥 的 身份 验证 ,基于 生物 学 特征 
的 身份 验证 和 基于 公开 密 钥 加 密 算法 的 身份 验证 。 不 同 的 身份 验证 方法 ,安全 性 也 各 
有 高 低 。 


1. 基于 共享 密 钥 的 身份 验证 


基于 共享 密 钥 的 身份 验证 是 指 服务 器 端 和 用 户 共 同 拥有 一 个 或 一 组 密码 。 当 用 户 需 要 
进行 身份 验证 时 ,用 户 直 接 输入 密码 或 通过 保管 有 密码 的 设备 提交 由 用 户 和 服务 器 共同 拥 
有 的 密码 。 服 务 器 在 收 到 用 户 提交 的 密码 后 ,检查 它 是 否 与 服务 器 端 保存 的 密码 一 致 ,如 果 
两 者 一 致 ,就 判断 用 户 为 合法 用 户 ; 如 果 两 者 不 一 致 时 , 则 判定 身份 验证 失败 。 

使 用 基于 共享 密 钥 的 身份 验证 的 服务 有 很 多 ,如 绝 大 多 数 的 网 络 接 入 服务 .BBS 以 及 维 
基 百 科 等 。 


2. 基于 生物 学 特征 的 身份 验证 


基于 生物 学 特征 的 身份 验证 是 指 基于 每 个 人 身体 上 独一无二 的 特征 ,如 指纹 或 虹膜 等 ， 
进行 身份 验证 。 


3. 基于 公开 密 钥 加 密 算法 的 身份 验证 


基于 公开 密 钥 加 密 算法 的 身份 验证 是 指 通信 双方 分 别 持 有 公开 密 钥 和 私有 密 钥 ,由 其 
中 的 一 方 采 用 私有 密 钥 对 特定 数据 进行 加 密 ,而 对 方 采用 公开 密 钥 对 数据 进行 解密 ,如 果 解 
密 成 功 ,就 认为 用 户 是 合法 用 户 ,否则 判定 身份 验证 失败 。 

使 用 基于 公开 密 钥 加 密 算法 的 身份 验证 的 服务 有 SSL 和 数字 签名 等 。 


7.4.2 访问 控制 和 口令 


1. 访问 控制 


按 用 户 身份 及 其 所 归属 的 某 预 设 的 定义 组 限制 用 户 对 某 些 信息 项 的 访问 ,或 限制 对 某 
些 控 制 功能 的 使 用 。 访 问 控制 通常 用 于 系统 管理 员 控制 用 户 对 服务 器 、 目 录 和 文件 等 网 络 
资源 的 访问 。 

访问 控制 的 主要 功能 如 下 : 

(1) 防止 非法 的 主体 进入 受 保护 的 网 络 资源 。 

(2) 允许 合法 用 户 访问 受 保护 的 网 络 资 源 。 

(3) 防止 合法 用 户 对 受 保护 的 网 络 资源 进行 非 授 权 的 访问 。 

访问 控制 实现 的 策略 主要 有 以 下 几 种 : 

(1) 入 网 访问 控制 ; 

(2) 网 络 权 限 限制 ; 

(3) 目录 级 安全 控制 ; 

(4) 属性 安全 控制 ; 
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(5) 网 络 服务 器 安全 控制 ; 

(6) 网 络 监 测 和 锁定 控制 ; 

(7) 网 络 端口 和 节点 的 安全 控制 ; 
(8) 防火 墙 控制 。 


2. 动态 口令 


动态 口令 作为 最 安全 的 身份 认证 技术 之 一 ,目前 已 经 被 越 来 越 多 的 行业 所 应 用 。 由 于 它 
使 用 便捷 , 且 具 有 与 平台 无 关 性 , 随 着 移动 互联 网 的 发 展 , 它 已 成 为 身份 认证 技术 的 主流 ,被 广 
泛 应 用 于 企业 、 网 游 和 金融 等 领域 ,国内 外 从 事 动态 口令 相关 研发 和 生产 的 企业 也 越 来 越 多 。 

1) 基本 概况 

动态 口令 是 根据 专门 的 算法 生成 一 个 不 可 预测 的 随机 数字 组 合 ,每 个 密码 只 能 使 用 一 
次 ,目前 被 广泛 运用 在 网 银 、 网 游 . 电 信 运 营 商 电子 政务 和 企业 等 应 用 领域 。 

2) 核心 价值 

(1) 使 最 终 用 户 能 够 安全 地 访问 企业 核心 信息 。 

(2) 降低 与 密码 相关 的 IT 管理 费用 。 

(3) 降低 用 户 遗 忘 密码 的 机 率 ,用 户 无 须 记忆 复杂 密码 。 

3) 生成 终端 

目前 用 于 生成 动态 口令 的 主流 终端 有 硬件 令 牌 .短信 密码 和 手机 令 牌 3 种 。 

(1) 短信 密码 :以 手机 短信 形式 请 求 包含 6 位 随机 数 的 动态 口令 ,身份 认证 系统 以 短信 
密码 形式 发 送 随 机 的 6 位 或 8 位 密码 到 客户 的 手机 上 ,客户 在 登录 或 者 交易 认证 时 输入 此 
动态 口令 ,从 而 确保 系统 身份 认证 的 安全 性 ,短信 认证 应 用 最 多 的 是 DKEY SMS ID 短信 密 
码 身 份 认证 解决 方案 。 

(2) 硬件 令 牌 :是 当前 主流 的 生成 动态 口令 的 终端 ,如 图 7. 11 所 示 。 硬 件 令 牌 基于 时 
间 同 步 ,每 60s 变换 一 次 动态 口令 ,动态 口令 一 次 有 效 , 它 产生 6 位 或 8 位 动态 数字 。 

(3) 手机 令 牌 :是 用 来 生成 动态 口令 的 手机 客户 端 软件 。 在 生成 动态 口令 的 过 程 中 ,不 
会 产生 任何 通信 及 费用 ,不 存在 通信 信道 中 被 截取 的 可 能 性 。 手 机 作为 动态 口令 生成 的 载 
体 , 欠 费 和 无 信号 对 其 不 产生 任何 影响 。 由 于 其 具有 高 安全 性 、 零 成 本 ,无 须 携带 和 获取 以 
及 无 物流 等 优势 ,与 硬件 令 牌 相 比 , 手 机 令 牌 更 符合 互联 网 的 精神 。 由 于 以 上 优势 ,手机 令 
牌 可 能 会 成 为 3G 时 代 动 态 口令 身份 认证 令 牌 的 主流 形式 。 手 机 令 牌 如 图 7. 12 所 示 。 
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图 711 硬件 令 牌 图 712 手机 令 牌 


表 7. 1 为 硬件 令 牌 与 短信 密码 的 技术 特性 比较 。 
短信 认证 的 核心 优点 是 费用 低 ,无须 携带 、 无 须 更 换 。 硬 件 令 牌 的 核心 优点 是 在 产品 质 
量 可 靠 的 情况 下 可 以 在 任何 地 方 进行 接 入 办 公 。 
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表 7.1 硬件 令 牌 与 短信 密码 技术 特性 比较 


硬件 令 牌 短信 和 密码 硬件 令 牌 短信 密码 
安全 性 | 最 高 较 高 移动 办 公 | 100% 解 决 方案 | 需 短信 网 关 支 持 
便捷 性 | 高 最 高 实时 性 | 高 较 高 (依赖 网 关 速 率 ) 
表现 形式 | 硬件 ,随身 携带 | 发 送 手 机 短信 


7.5 IPSec 安全 协议 


7.5.1 IPSec 安全 协议 简介 


IPSec(IP Security) 是 IETF 制定 的 三 层 隧 道 加 密 协 议 , 它 为 Internet 上 传输 的 数据 提 
供 了 高 质量 的 .可 互 操作 的 .基于 密码 学 的 安全 保证 。 特 定 的 通信 方 之 间 在 IP 层 通过 加 密 
与 数据 源 认证 等 方式 提供 了 以 下 的 安全 服务 。 


1. IPSec 协议 的 特点 


IPSec 安全 协议 具有 以 下 特点 : 

(1) 数据 机 密 性 (confidentiality) : IPSec 发 送 方 在 通过 网 络 传输 包 前 对 包 进 行 加 密 。 

(2) 数据 完整 性 (data integrity) : IPSec 接收 方 对 发 送 方 发 送 来 的 包 进 行 认 证 ,以 确保 
数据 在 传输 过 程 中 没有 被 自 改 。 

(3) 数据 来 源 认证 (data authentication) : IPSec 在 接收 端 可 以 认证 发 送 IPSec 报 文 的 发 
送 端 是 否 合法 。 

(4) 防 重 放 (anti-replay) : IPSec 接收 方 可 检测 并 拒绝 接收 过 时 或 重复 的 报 文 。 


2. IPSec 协议 的 优点 


IPSec 具有 以 下 优点 : 

(1) 支持 IKE(Internet Key Exchange, 因 特 网 密 钥 交 换 ) ,可 实现 密 钥 的 自动 协商 功能 ， 
减少 了 密 钥 协商 的 开销 。 可 以 通过 IKE 建立 和 维护 SA 的 服务 ,简化 了 IPSec 的 使 用 和 
管理 。 

(2) 所 有 使 用 IP 协议 进行 数据 传输 的 应 用 系统 和 服务 都 可 以 使 用 IPSec, 而 不 必 对 这 
些 应 用 系统 和 服务 本 身 做 任何 修改 。 

(3) 对 数据 的 加 密 是 以 数据 包 为 单位 的 ,而 不 是 以 整个 数据 流 为 单位 ,这 不 仅 灵 活 , 而 
且 有 助 于 进一步 提高 IP 数据 包 的 安全 性 ,可 以 有 效 防 范 网 络 攻击 。 


7.5.2 IPSec 的 协议 组 成 和 实现 


1. IPSec 协议 组 成 
IPSec 协议 不 是 一 个 单独 的 协议 , 它 给 出 了 应 用 于 IP 层 上 网 络 数据 安全 的 一 整套 体系 
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结构 ,包括 网 络 认证 协议 AH(CAuthentication Header, 认 证 头 )、ESP(Encapsulating Security 
Payload, 封 装 安全 载荷 )、IKE(Internet Key Exchange, 因 特 网 密 钥 交换 ) 和 用 于 网 络 认证 及 
加 密 的 一 些 算法 等 。 其 中 ,AH 协议 和 ESP 协议 用 于 提供 安全 服务 ,IKE 协议 用 于 密 钥 交 
换 。 关 于 IKE 的 详细 介绍 请 参见 7. 5. 5 节 介绍 。 


2. IPSec 协议 安全 机 制 


IPSec 提供 了 两 种 安全 机 制 : 认证 和 加 密 。 认 证 机 制 使 IP 通信 的 数据 接收 方 能 够 确认 
数据 发 送 方 的 真实 身份 以 及 数据 在 传输 过 程 中 是 否 遭 算 改 。 加 密 机 制 通 过 对 数据 进行 加 密 
运算 来 保证 数据 的 机 密 性 ,以 防 数据 在 传输 过 程 中 被 窃听 。 

IPSec 协议 中 的 AH 协议 定义 了 认证 的 应 用 方法 ,提供 数据 源 认 证 和 完整 性 保证 ; 
ESP 协议 定义 了 加 密 和 可 选 认证 的 应 用 方法 ,提供 数据 可 靠 性 保证 。 

1) AH 协议 

AH 协议 (IP 协议 号 为 51) 提 供 数据 源 认 证 数据 完整 性 校 验 和 防 报 文 重 放 功能 , 它 能 
保护 通信 和 免 受 自 改 ,但 不 能 防止 窃听 ,适合 用 于 传输 非 机 密 数据 。AH 的 工作 原理 是 在 每 一 
个 数据 包 上 添加 一 个 身份 验证 报 文 头 , 此 报 文 头 搬 在 标准 IP 包头 后 面 , 对 数据 提供 完整 性 
保护 。 可 选择 的 认证 算法 有 MD5(Message Digest) .SHA-1(Secure Hash Algorithm) 等 。 

2) ESP 协议 

ESP 协议 (IP 协议 号 为 50) 提 供 加 密 .数据 源 认 证 、 数 据 完 整 性 校 验 和 防 报 文 重 放 功 能 。 
ESP 的 工作 原理 是 在 每 一 个 数据 包 的 标准 IP 包头 后 面 添加 一 个 ESP 报 文 头 ,并 在 数据 包 
后 面 追 加 一 个 ESP 尾 。 与 AH 协议 不 同 的 是 ,ESP 将 需要 保护 的 用 户 数据 进行 加 密 后 再 封 
装 到 IP 包 中 ,以 保证 数据 的 机 密 性 。 常 见 的 加 密 算法 有 DES、3DES 和 AES 等 。 同 时 ,作为 
可 选项 ,用 户 可 以 选择 MD5 和 SHA-1 算法 保证 报 文 的 完整 性 和 真实 性 。 

3) 安全 协议 的 使 用 

在 实际 进行 IP 通信 时 ,可 以 根据 实际 安全 需求 同时 使 用 这 两 种 协议 或 选择 使 用 其 中 的 
一 种 。AH 和 ESP 都 可 以 提供 认证 服务 ,不 过 ,AH 提供 的 认证 服务 要 强 于 ESP。 同 时 使 用 
AH 和 ESP 时 ,设备 支持 的 AH 和 ESP 联合 使 用 的 方式 为 : 先 对 报 文 进行 ESP 封装 ,再 对 
报 文 进行 AH 封装 ,封装 之 后 的 报 文 从 内 到 外 依次 是 原始 IP 报 文 .ESP 头 、.AH 头 和 外 部 
下 法 。 


7.5.3 IPSec 封装 模式 与 算法 


1. 安全 联盟 (Security Association .SA) 


IPSec 在 两 个 端点 之 间 提 供 安全 通信 ,端点 被 称 为 IPSec 对 等 体 。 

SA 是 IPSec 的 基础 ,也 是 IPSec 的 本 质 。SA 是 通信 对 等 体 间 对 某 些 要 素 的 约定 , 例 
如 ,使 用 哪 种 协议 (AH、ESP 还 是 两 者 结合 使 用 ) .协议 的 封装 模式 (传输 模式 和 隧道 模式 )、 
加 密 算法 (DES、3DES 和 AES) ,特定 流 中 保护 数据 的 共享 密 钥 以 及 密 钥 的 生存 周期 等 。 建 
立 SA 的 方式 有 手工 配置 和 IKE 自动 协商 两 种 。 

SA 是 单 向 的 ,在 两 个 对 等 体 之 间 的 双向 通信 最 少 需要 两 个 SA 来 分 别 对 两 个 方向 的 数 
据 流 进 行 安全 保护 。 同 时 ,如 果 两 个 对 等 体 希望 同时 使 用 AH 和 ESP 来 进行 安全 通信 , 则 


182 


I 
ff 


7 gy 
ZI 
第 7 章 互联 网 网 络 安 全 


每 个 对 等 体 都 会 针对 每 一 种 协议 来 构建 一 个 独立 的 SA。 

SA 由 一 个 三 元 组 来 唯一 标识 ,这 个 三 元 组 包括 SPI(Security Parameter Index, 安 全 参 
数 索 引 )、 目 的 IP 地址 和 安全 协议 号 (AH 或 ESP) 。 

SPI 是 用 于 唯一 标识 SA 的 一 个 32 比特 数值 , 它 在 AH 和 ESP 头 中 传输 。 在 手工 配置 
SA 时 ,需要 手工 指定 SPI 的 取 值 。 使 用 IKE 协商 产生 SA 时 ,SPI 将 随机 生成 。 

通过 IKE 协商 建立 的 SA 具有 生存 周期 ,手工 方式 建立 的 SA 永 不 老化 。IKE 协商 建 
立 的 SA 的 生存 周期 有 两 种 定义 方式 : 

(1) 基于 时 间 的 生存 周期 ,定义 了 一 个 SA 从 建立 到 失效 的 时 间 。 

(2) 基于 流量 的 生存 周期 ,定义 了 一 个 SA 允许 处 理 的 最 大 流量 。 

生存 周期 到 达 指 定 的 时 间或 指定 的 流量 ,SA 就 会 失效 。SA 失效 前 ,IKE 将 为 IPSec 协 
商 建立 新 的 SA, 这 样 ,在 旧 的 SA 失效 前 新 的 SA 就 已 经 准备 好 。 在 新 的 SA 开始 协商 而 没 
有 协商 好 之 前 ,继续 使 用 旧 的 SA 保护 通信 ;在 新 的 SA 协商 好 之 后 , 则 立即 采用 新 的 SA 保 
护 通 信 。 

2. 封装 模式 


IPSec 有 如 下 两 种 工作 模式 ， 

(1) 隧道 (tunnel) 模 式 : 用 户 的 整个 IP 数据 包 被 用 来 计算 AH 或 ESP 头 ,AH 或 ESP 
头 以 及 ESP 加 密 的 用 户 数据 被 封装 在 一 个 新 的 IP 数据 包 中 。 通 常 , 隧 道 模式 应 用 在 两 个 安 
全 网 关 之 间 的 通信 。 

(2) 传输 (transport) 模 式 : 只 是 传输 层 数据 被 用 来 计算 AH 或 ESP 头 ,AH 或 ESP 头 
以 及 ESP 加 密 的 用 户 数据 被 放置 在 原 IP 包头 后 面 。 通 常 ,传输 模式 应 用 在 两 台 主机 之 间 的 
通信 ,或 一 台 主 机 和 一 个 安全 网 关 之 间 的 通信 。 

不 同 的 安全 协议 在 隧道 模式 和 传输 模式 下 的 数据 封装 形式 如 图 7. 13 所 示 , data 为 传输 
层 数据 。 


ee 传输 模式 隧道 模式 


AH IP|AH| Data IPIAH|IP| Data 
ESP IP | ESP| Data | ESP-T IP|ESP |IP | Data | ESP-T 


AH+ESP | (IP JAR|ESP| Da [ESP-7| (1p|AH|ESe| P| Data | ESP-T 


图 713 安全 协议 数据 封装 格式 


3. 认证 算法 与 加 密 算法 

1) 认证 算法 

认证 算法 的 实现 主要 是 通过 杂凑 函数 。 杂 凑 函 数 是 一 种 能 够 接受 任意 长 的 消息 输入 ， 
并 产生 固定 长 度 输出 的 算法 ,该 输出 称 为 消息 摘要 。IPSec 对 等 体 计 算 摘要 ,如 果 两 个 摘要 
是 相同 的 , 则 表示 报 文 是 完整 的 ,未 经 算 改 的 。IPSec 使 用 两 种 认证 算法 : 

(1) MD5: 通过 输入 任意 长 度 的 消息 ,产生 128b 的 消息 摘要 。 
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(2) SHA-1: 通过 输入 长 度 小 于 2#b 的 消息 ,产生 160b 的 消息 摘要 。 

MD5 算法 的 计算 速度 比 SHA-1 算法 快 ,而 SHA-1 算法 的 安全 强度 比 MD5 算法 高 。 

2) 加 密 算 法 

加 密 算法 的 实现 主要 通过 对 称 密 钥 系统 , 它 使 用 相同 的 密 钥 对 数据 进行 加 密 和 解密 。 
目前 设备 的 IPSec 实现 3 种 加 密 算法 : 

(1) DES(Data Encryption Standard) : 使 用 56b 的 密 钥 对 一 个 64b 的 明文 块 进行 加 密 。 

(2) 3DES(Triple DES): 使 用 3 个 56b 的 DES 密 钥 ( 共 168b) 对 明文 进行 加 密 。 

(3) AES(Advanced Encryption Standard): 使 用 128b、192b 或 256b 密 钥 长 度 的 
AES 算法 对 明文 进行 加 密 。 

这 3 个 加 密 算法 的 安全 性 由 高 到 低 依次 是 AES、3DES 和 DES, 安 全 性 高 的 加 密 算法 实 
现 机 制 复杂 ,运算 速度 慢 。 对 于 普通 的 安全 要 求 ,DES 算法 就 可 以 满足 需要 。 


4. 协商 方式 


有 如 下 两 种 协商 方式 可 用 于 建立 SA: 

(1) 手工 方式 (manual) 配 置 比较 复杂 ,创建 SA 所 需 的 全 部 信息 都 必须 手工 配置 ,而 且 不 
支持 一 些 高 级 特性 (例如 定时 更 新 密 钥 ) ,但 优点 是 可 以 不 依赖 IKE 而 单独 实现 IPSec 的 功能 。 

(2) IKE 自动 协商 (isakmp) 方 式 相对 比较 简单 ,只 需要 配置 好 IKE 协商 安全 策略 的 信 
息 ,由 IKE 自动 协商 来 创建 和 维护 SA。 

当 与 之 进行 通信 的 对 等 体 设备 数量 较 少时 .或 是 在 小 型 静态 环境 中 ,手工 配置 SA 是 可 
行 的 。 对 于 中 ,大 型 的 动态 网 络 环境 ,推荐 使 用 IKE 协商 建立 SA。 


5. 安全 隧道 
安全 隧道 是 建立 在 本 端 和 对 端 之 间 可 以 互通 的 一 个 通道 , 它 由 一 对 或 多 对 SA 组 成 。 
6. 加 密 卡 


IPSec 在 设备 上 可 以 通过 软件 实现 ,还 可 以 通过 加 密 卡 实现 。 通 过 软件 实现 ,复杂 的 加 
密 /解密 和 认证 算法 会 占用 大 量 的 CPU 资源 ,从 而 影响 设备 整体 处 理 效率 ;而 通过 加 密 卡 实 
现 ,复杂 的 算法 处 理 在 硬件 上 进行 ,从 而 提高 了 设备 的 处 理 效率 。 

加 密 卡 进行 加 /解密 处 理 的 过 程 是 : 设备 将 需要 加 /解密 处 理 的 数据 发 给 加 密 卡 ;加 密 
卡 对 数据 进行 处 理 , 然 后 将 处 理 后 的 数据 发 送 回 设备 ,再 由 设备 进行 转发 处 理 。 


7.5.4 IPSec 虚拟 隧道 接口 


1. 概述 


IPSec 虚拟 隧道 接口 是 一 种 支持 路 由 的 三 层 逻辑 接口 , 它 可 以 支持 动态 路 由 协议 ,所 有 
路 由 到 IPSec 虚拟 隧道 接口 的 报 文 都 将 进行 IPSec 保护 ,同时 还 可 以 支持 对 组 播 流量 的 保 
护 。 使 用 IPSec 虚拟 隧道 接口 建立 IPSec 隧道 具有 以 下 优点 : 

(1) 简化 配置 。 通 过 路 由 来 确定 对 哪些 数据 流 进行 IPSec 保护 。 与 通过 ACL 指定 数据 
流 范围 的 方式 相 比 , 这 种 方式 简化 了 用 户 在 部 署 IPSec 安全 策略 时 配置 上 的 复杂 性 ,使 得 
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IPSec 的 配置 不 会 受到 网 络 规划 的 影响 ,增强 了 网 络 规划 的 可 扩展 性 ,降低 了 网 络 维护 成 本 。 

(2) 减少 开销 。 在 保护 远程 接 入 用 户 流 量 的 组 网 应 用 中 ,在 IPSec 虚拟 隧道 接口 处 进行 
报 文 封装 ,与 IPSec over GRE 或 者 IPSec over L2TP 方式 的 隧道 封装 相 比 ,无 须 额外 为 人 隧 
道 流量 加 封装 GRE 头 或 者 L2TP 头 , 减 少 了 报 文 封装 的 层次 ,节省 了 带宽 。 

(3) 业务 应 用 更 灵活 。IPSec 虚拟 隧道 接口 在 实施 过 程 中 明确 地 区 分 出 “加 密 前 ”和 “加 
密 后 ”两 个 阶段 ,用 户 可 以 根据 不 同 的 组 网 需求 灵活 选择 其 他 业务 (例如 NAT 和 QoS) 实 施 
的 阶段 。 例 如 ,如 果 用 户 希 望 对 IPSec 封装 前 的 报 文 应 用 QoS, 则 可 以 在 IPSec 虚拟 隧道 接 
口上 应 用 QoS 策略 ;如 果 希 望 对 IPSec 封装 后 的 报 文 应 用 QoS, 则 可 以 在 物理 接口 上 应 用 
QoS 策略 。 


2. 工作 原理 


IPSec 虚拟 隧道 接口 对 报 文 的 加 封装 / 解 封装 发 生 在 隧道 接口 上 。 用 户 流量 到 达 实 施 
IPSec 配置 的 设备 后 ,需要 IPSec 处 理 的 报 文 会 被 转发 到 IPSec 虚拟 隧道 接口 上 进行 加 封 
装 / 解 封装 。 

1) IPSec 虚拟 隧道 接口 对 报 文 进行 加 封装 的 过 程 

如 图 7. 14 所 示 ,IPSec 虚拟 隧道 接口 对 报 文 进行 加 封装 的 过 程 如 下 : 


明文 
报 文 


~| 入 接口 


出 接口 [一 一 


图 714 IPSec 虚拟 隧道 接口 加 封装 原理 图 


(1) 路 由 器 将 从 和 人 接口 接收 到 的 IP 明文 送 到 转发 模块 进行 处 理 。 

(2) 转发 模块 依据 路 由 查询 结果 .将 IP 明文 发 送 到 IPSec 虚拟 隧道 接口 进行 加 封装 : 
原始 IP 报 文 被 封装 在 一 个 新 的 IP 报 文中 .新 IP 头 中 的 源 地 址 和 目的 地 址 分 别 为 隧道 接口 
的 源 地 址 和 目的 地 址 。 

(3) IPSec 虚拟 隧道 接口 完成 对 IP 明文 的 加 封装 处 理 后 ,将 IP 密 文 送 到 转发 模块 进行 
处 理 。 

(4) 转发 模块 进行 第 二 次 路 由 查询 后 ,将 IP 密 文通 过 隧道 接口 的 实际 物理 接口 (出 接 
口 ) 转 发 出 去 。 

2) IPSec 虚拟 隧道 接口 对 报 文 进行 解 封装 的 过 程 

如 图 7. 15 所 示 ,IPSec 虚拟 隧道 接口 对 报 文 进行 解 封装 的 过 程 如 下 : 

(1) 路 由 器 将 从 入 接口 接收 到 的 IP 密 文 送 到 转发 模块 进行 处 理 。 

(2) 转发 模块 识别 到 此 IP 密 文 的 目的 地 为 本 设备 的 隧道 接口 地 址 且 IP 协议 号 为 
AH 或 ESP 时 ,会 将 IP 密 文 送 到 相应 的 IPSec 虚拟 隧道 接口 进行 解 封装 : 将 IP 密 文 的 外 层 
JIP 头 去 掉 , 对 内 层 IP 报 文 进行 解密 处 理 。 
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图 715 IPSec 虚拟 隧道 接口 解 封装 原理 图 


(3) IPSec 虚拟 隧道 接口 完成 对 IP 密 文 的 解 封装 处 理 之 后 ,将 IP 明文 重新 送 回转 发 模 
块 处 理 。 

(4) 转发 模块 进行 第 二 次 路 由 查询 后 ,将 IP 明文 从 隧道 的 实际 物理 接口 (出 接口 ) 转 发 
出 去 。 

从 上 面 描述 的 加 封装 / 解 封装 过 程 可 见 ,IPSec 虚拟 隧道 接口 将 报 文 的 IPSec 处 理 过 程 
区 分 为 两 个 阶段 :“ 加 密 前 ”和 “加 密 后 ”。 需 要 应 用 到 加 密 前 的 明文 上 的 业务 (例如 NAT 和 
QoS) 可 以 应 用 到 隧道 接口 上 ,需要 应 用 到 加 密 后 的 密 文 上 的 业务 则 可 以 应 用 到 隧道 接口 对 
应 的 物理 接口 上 。 


3. 使 用 IPSec 保护 IPv6 路 由 协议 


使 用 IPSec 保护 IPv6 路 由 协议 是 指 , 使 用 AH/ESP 协议 对 IPv6 路 由 协议 报 文 进行 加 / 
解 封装 处 理 , 并 为 其 提供 认证 和 加 密 的 安全 服务 ,目前 这 种 保护 技术 支持 OSPFv3、IPv6 
BGP 和 RIPng 路 由 协议 。 

IPSec 对 IPv6 路 由 协议 报 文 进行 保护 的 处 理 方式 和 目前 基于 接口 的 IPSec 处 理 方式 不 
同 , 是 基于 业务 的 IPSec, 即 IPSec 保护 某 一 业务 的 所 有 报 文 。 该 方式 下 ,设备 产生 的 所 有 需 
要 IPSec 保护 的 IPv6 路 由 协议 报 文 都 要 进行 加 封装 处 理 ,而 设备 接收 到 的 不 受 IPSec 保护 
的 以 及 解 封装 (解密 或 验证 ) 失 败 的 IPv6 路 由 协议 报 文 都 要 被 丢弃 。 

在 基于 接口 的 IPSec 处 理 方式 下 ,设备 对 配置 了 IPSec 安全 功能 的 接口 上 发 送 的 每 个 报 
文 都 要 判断 是 否 进行 IPSec 处 理 。 目 前 ,该 方式 有 两 种 实现 : 一 种 是 基于 ACL 的 IPSec, 只 
要 到 达 接 口 的 报 文 与 该 接口 的 IPSec 安全 策略 中 的 ACL 规则 匹配 ,就 会 受到 IPSec 保护 ; 另 
一 种 是 基于 路 由 的 IPSec, 即 IPSec 虚拟 隧道 接口 方式 ,只 要 被 路 由 到 虚拟 隧道 接口 上 的 报 
文 都 会 受到 IPSec 保护 。 

相对 于 基于 接口 的 IPSec, 基 于 业务 的 IPSec 既 不 需要 ACL 来 限定 要 保护 的 流 的 范围 ， 
也 不 需要 指定 IPSec 隧道 的 起 点 与 终点 .IPSec 安全 策略 仅 与 具体 的 业务 绑 定 , 不 管 业务 报 
文 从 设备 的 哪个 接口 发 送出 去 ,都 会 被 IPSec 保护 。 

由 于 IPSec 的 密 钥 交 换 机 制 仅仅 适用 于 两 点 之 间 的 通信 保护 ,在 广播 网 络 一 对 多 的 情 
形 下 ,IPSec 无 法 实现 自动 交换 密 钥 ,因此 必须 使 用 手工 配置 密 钥 的 方式 。 同 样 ,由 于 广播 网 
络 一 对 多 的 特性 ,要 求 各 设备 对 于 接收 和 发 送 的 报 文 均 使 用 相同 的 SA 参数 (相同 的 SPI 及 
密 钥 )。 因 此 ,目前 仅 支 持 手工 安全 策略 生成 的 SA 对 IPv6 路 由 协议 报 文 进行 保护 。 
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7.5.5 因特网 密 钥 交换 协议 


1. 因特网 密 钥 交 换 协 议 简介 


在 实施 IPSec 的 过 程 中 ,可 以 使 用 IKE(Internet Key Exchange, 因 特 网 密 钥 交换 ) 协 议 
来 建立 SA, 该 协议 建立 在 由 ISAKMP(JInternet Security Association and Key Management 
Protocol ,互联 网 安全 联盟 和 密 钥 管理 协议 ) 定 义 的 框架 上 。IKE 为 IPSec 提供 了 自动 协商 
交换 密 钥 和 建立 SA 的 服务 ,能 够 简化 IPSec 的 使 用 和 管理 ,大 大 简化 IPSec 的 配置 和 维护 
工作 。 

IKE 不 是 在 网 络 上 直接 传输 密 钥 ,而 是 通过 一 系列 数据 的 交换 ,最 终 计算 出 双方 共享 的 
密 钥 ,并且 即使 第 三 者 截获 了 双方 用 于 计算 密 钥 的 所 有 交换 数据 ,也 不 足以 计算 出 真正 的 
密 钥 。 


2. IKE 的 安全 机 制 


IKE 具有 一 套 自 保 护 机 制 ,可 以 在 不 安全 的 网 络 上 安全 地 认证 身份 .分 发 密 钥 和 建立 
IPSec SA。 

1) 数据 认证 

数据 认证 有 如 下 两 方面 的 概念 : 

(1) 身份 认证 : 确认 通信 双方 的 身份 。 支 持 两 种 认证 方法 : 预 共 享 密 钥 (pre-shared- 
key) 认 证 和 基于 PKI 的 数字 签名 (RSA-signature) 认 证 。 

(2) 身份 保护 : 身份 数据 在 密 钥 产 生 之 后 加 密 传送 ,实现 了 对 身份 数据 的 保护 。 

2) 交换 及 密 钥 分 发 

DHCDiffie-Hellman, 交 换 及 密 钥 分 发 ) 算 法 是 一 种 公共 密 钥 算法 。 通 信 双 方 在 不 传输 
密 钥 的 情况 下 通过 交换 一 些 数据 计算 出 共享 的 密 钥 。 即 使 第 三 者 (如 黑客 ) 截 获 了 双方 用 于 
计算 密 钥 的 所 有 交换 数据 ,由 于 其 复杂 度 很 高 ,不 足以 计算 出 真正 的 密 钥 。 所 以 ,DH 交换 
技术 可 以 保证 双方 能 够 安全 地 获得 公有 信息 。 

3) 完善 的 前 向 安全 性 

PFS(Perfect Forward Secrecy, 完 善 的 前 向 安全 性 ) 是 一 种 安全 特性 , 指 一 个 密 钥 被 破解 
并 不 影响 其 他 密 钥 的 安全 性 ,因为 这 些 密 钥 间 没 有 派生 关系 。 对 于 IPSec, 是 通过 在 IKE 协 
商 的 第 二 阶段 中 增加 一 次 密 钥 交换 来 实现 的 。PFS 是 由 DH 算法 保障 的 。 


3. IKE 的 交换 过 程 


IKE 使 用 了 两 个 阶段 为 IPSec 进行 密 钥 协商 并 建立 SA: 

(1) 第 一 阶段 ,通信 各 方 彼此 间 建 立 了 一 个 已 通过 身份 认证 和 安全 保护 的 通道 , 即 建立 
一 个 ISAKMP SA。 第 一 阶段 有 主 模式 (main mode) 和 野蛮 模式 (aggressive mode) 两 种 
IKE 交换 方法 。 

(2) 第 二 阶段 ,用 在 第 一 阶段 建立 的 安全 隧道 为 IPSec 协商 安全 服务 , 即 为 IPSec 协商 
具体 的 SA ,建立 用 于 最 终 的 IP 数据 安全 传输 的 IPSec SA。 

如 图 7. 16 所 示 ,第 一 阶段 主 模式 的 IKE 协商 过 程 中 包含 3 对 消息 : 
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图 716 主 模式 交换 过 程 


(1) 第 一 对 消息 叫 SA 交换 ,是 协商 确认 有 关 安 全 策略 的 过 程 。 

(2) 第 二 对 消息 叫 密 钥 交换 ,交换 D-H 公共 值 和 辅助 数据 (如 随机 数 ), 密 钥 材 料 在 这 个 
阶段 产生 。 

(3) 最 后 一 对 消息 是 ID 信息 和 认证 数据 交换 ,进行 身份 认证 和 对 整个 第 一 阶段 交换 内 
容 的 认证 。 

野蛮 模式 交换 与 主 模式 交换 的 主要 差别 在 于 ,野蛮 模式 不 提供 身份 保护 ,只 交换 3 条 消 
息 。 在 对 身份 保护 要 求 不 高 的 场合 ,使 用 交换 报 文 较 少 的 野蛮 模 式 可 以 提高 协商 的 速度 ;在 
对 身份 保护 要 求 较 高 的 场合 , 则 应 该 使 用 主 模式 。 


4. IKE 在 IPSec 中 的 作用 


(1) 因为 有 了 IKE,IPSec 很 多 参数 (如 密 钥 ) 都 可 以 自动 建立 ,降低 了 手工 配置 的 复 
杂 度 。 

(2) IKE 协议 中 的 DH 交换 过 程 中 ,每 次 的 计算 和 产生 的 结果 都 是 不 相关 的 。 每 次 
SA 的 建立 都 运行 DH 交换 过 程 ,保证 了 每 个 SA 所 使 用 的 密 钥 互 不 相关 。 

(3) IPSec 使 用 AH 或 ESP 报 文 头 中 的 序列 号 实现 防 重 放 。 此 序列 号 是 一 个 32b 的 
值 , 此 数 溢出 后 ,为 实现 防 重 放 ,SA 需要 重新 建立 ,这 个 过 程 需要 IKE 协议 的 配合 。 

(4) 对 安全 通信 的 各 方 身份 的 认证 和 管理 将 影响 到 IPSec 的 部 署 。IPSec 的 大 规模 使 
用 必须 有 CA(Certificate Authority, 认 证 中 心 ) 或 其 他 集中 管理 身份 数据 的 机 构 的 参与 。 

(5) IKE 提供 端 与 端 之 间 的 动态 认证 。 


5. IPSec 与 IKE 的 关系 


从 图 7. 17 中 可 以 看 出 IKE 和 IPSec 的 关系 : 

(1) IKE 是 UDP 之 上 的 一 个 应 用 层 协 议 ,是 IPSec 的 信 令 协议 。 

(2) IKE 为 IPSec 协商 建立 SA, 并 把 建立 的 参数 及 生成 的 密 钥 交 给 IPSec。 
(3) IPSec 使 用 IKE 建立 的 SA 对 IP 报 文 加 密 或 进行 认证 处 理 。 
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图 717 IPSec 与 IKE 的 关系 


7.6 虚拟 专 网 


虚拟 专 网 (Virtual Private Network,VPN) 指 依靠 ISP 和 其 他 NSP( 网 络 服务 提供 者 ) 在 
公用 网 络 ( 如 Internet、Frame Relay 和 ATM) 建 立 专用 的 数据 通信 和 网络 的 技术 。 在 虚拟 网 
中 ,任意 两 个 节点 之 间 的 连接 并 没有 传统 专 网 所 需 的 端 到 端的 物理 链 路 。 

VPN 适用 于 大 中 型 企业 的 总 公司 和 各 地 分 公司 或 分 支 机 构 的 网 络 互 连 和 企业 同 商业 
合作 伙伴 之 间 的 网 络 互 连 。 目 前 VPN 能 实现 的 功能 有 : 企业 员工 及 授权 商业 伙伴 共享 企 
业 的 商业 信息 ;在 网 上 进行 信息 及 文件 安全 快速 的 交换 ;通过 网 络 安全 地 发 送 电 子 邮件 ; 通 
过 网 络 实现 无 纸 办 公 和 无 纸 贸 易 。 

VPN 的 访问 方式 多 种 多 样 , 包 括 拨 号 模拟 方式 ISDN、DSL 专线、IP 路 由 器 或 线 缆 调 
制 解 调 器 。 现 在 一 般 所 说 的 VPN 更 多 是 指 构建 在 公用 IP 网 络 上 的 专用 网 ,也 可 称 之 为 
IP VPN( 以 IP 为 主要 通信 协议 ) 。 


7.6.1 虚拟 专 网 技术 基础 


1. VPN 功能 简介 


VPN 可 以 通过 特殊 的 加 密 的 通信 协议 在 连接 在 Internet 上 的 位 于 不 同 地 方 的 两 个 或 
多 个 企业 内 部 网 之 间 建 立 一 条 专 有 的 通信 线路 ,就 好 比 是 架设 了 一 条 专线 一 样 ,但 是 它 并 不 
需要 真正 地 去 铺设 光缆 之 类 的 物理 线路 。 这 就 好 比 去 电信 和 局 申请 专线 ,但 是 不 用 支付 铺设 
线路 的 费用 ,也 不 用 购买 路 由 器 等 硬件 设备 。VPN 技术 原 是 路 由 器 具有 的 重要 技术 之 一 ， 
在 交换 机 、 防 火 墙 设备 或 Windows 等 软件 里 也 都 支持 VPN 功能 。 总 之 ,VPN 的 核心 就 是 
在 利用 公共 网 络 建立 虚拟 私有 网 。 

VPN 被 定义 为 通过 一 个 公用 网 络 ( 通 常 是 因特网 ) 建 立 一 个 临时 的 、 安 全 的 连接 ,是 一 
条 穿 过 混乱 的 公用 网 络 的 安全 ,稳定 的 隧道 。VPN 是 对 企业 内 部 网 的 扩展 。VPN 可 以 帮 
助 远程 用 户 、 公 司 分 支 机 构 、 商 业 伙 伴 及 供应 商 同 公司 的 内 部 网 建立 可 信 的 安全 连接 ,并 保 
证 数据 的 安全 传输 。VPN 可 用 于 不 断 增长 的 移动 用 户 的 全 球 因 特 网 接 入 ,以 实现 安全 连 
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接 ; 可 用 于 实现 企业 网 站 之 间 安 全 通信 的 虚拟 专用 线路 ,用 于 经 济 有 效 地 连接 到 商业 伙伴 和 
用 户 的 安全 外 联网 VPN。VPN 的 结构 如 图 7. 18 所 示 。 


SSL VPN 设 备 
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图 718 虚拟 专用 网 
2. VPN 网 络 协议 
常用 的 VPN 协议 是 IPSec, 是 保护 IP 协议 安全 通信 的 标准 , 它 主要 对 IP 协议 分 组 进行 
加 密 和 认证 。 
3. VPN 安全 技术 


由 于 传输 的 是 私有 信息 ,VPN 用 户 对 数据 的 安全 性 都 比较 关心 。 目 前 VPN 主要 采用 
4 项 技术 来 保证 安全 ,这 4 项 技术 分 别 是 隧道 技术 、 加 解密 技术 、 密 钥 管 理 技术 和 使 用 者 与 设 
备 身份 认证 技术 。 

1) 隧道 技术 (tunneling) 

隧道 技术 是 VPN 的 基本 技术 ,类似 于 点 对 点 连接 技术 。 它 在 公用 网 建立 一 条 数据 通道 
(隧道 ) ,让 数据 包 通 过 这 条 隧道 传输 。 隧 道 是 由 隧道 协议 形成 的 ,分 为 第 二 、 三 层 隧 道 协议 。 
第 二 层 隧 道 协议 是 先 把 各 种 网 络 协议 封装 到 PPP 中 ,再 把 整个 数据 包装 人 隧道 协议 中 。 这 
种 双 层 封装 方法 形成 的 数据 包 靠 第 二 层 协 议 进行 传输 。 第 二 层 隧道 协议 有 L2F、PPTP 和 
L2TP 等 。L2TP 协议 是 目前 IETF 的 标准 ,由 IETF 融合 PPTP 与 L2F 而 形成 。 

第 三 层 隧道 协议 是 把 各 种 网 络 协议 直接 装 入 隧道 协议 中 ,形成 的 数据 包 依靠 第 三 层 协 
议 进行 传输 。 第 三 层 隧 道 协议 有 VTP 和 IPSec 等 。IPSec 由 一 组 RFC 文档 组 成 ,定义 了 一 个 
系统 来 提供 安全 协议 选择 .安全 算法 .确定 服务 所 使 用 密 钥 等 服务 ,从 而 在 全 层 提 供 安全 保障 。 

2) 加 解密 技术 (encryption & decryption) 

加 解密 技术 是 数据 通信 中 一 项 较 成 熟 的 技术 ,VPN 可 直接 利用 现 有 技术 。 
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3) 密 钥 管理 技术 (key management) 

密 钥 管理 技术 的 主要 任务 是 如 何在 公用 数据 网 上 安全 地 传递 密 钥 而 不 被 窃取 。 现 行 密 
钥 管 理 技术 又 分 为 SKIP 与 ISAKMP/OAKLEY 两 种 。SKIP 主要 是 利用 DH 算法 在 网 络 
上 传输 密 钥 ;在 ISAKMP 中 ,双方 都 有 两 把 密 钥 , 分 别 用 于 公用 和 私 用 。 

4) 使 用 者 与 设备 身份 认证 技术 (authentication) 

使 用 者 与 设备 身份 认证 技术 最 常用 的 是 使 用 者 名 称 与 密码 或 卡片 式 认证 等 方式 。 


7.6.2 IPSec VPN 


IPSec 是 一 套 比 较 完整 成 体系 的 VPN 技术 , 它 规定 了 一 系列 的 协议 标准 。 如 果 不 深 
入 探究 IPSec 的 过 于 详细 的 内 容 ,我们 对 于 IPSec 大 致 按照 以 下 几 个 方面 理解 。 

为 了 在 深入 技术 讨论 以 前 使 大 家 有 一 个 基本 概念 ,以 下 几 节 使 用 比较 通俗 的 语言 先 解 
释 IPSec 安全 协议 在 VPN 虚拟 专 网 中 的 应 用 。 


1. 导入 IPSec 协议 的 原因 


导入 IPSec 协议 ,原因 有 两 个 ,一 个 是 原来 的 TCP/IP 体系 中 没有 包括 基于 安全 的 设 
计 , 任 何人 ,只 要 能 够 搭 人 线路 , 即 可 分 析 所 有 的 通信 数据 。IPSec 引进 了 完整 的 安全 机 制 ， 
包括 加 密 、 认 证 和 数据 防 自 改 功能 。 

另外 一 个 原因 ,是 因为 Internet 迅速 发 展 , 接 人 越 来 越 方便 ,很 多 客户 希望 能 够 利用 这 
种 上 网 的 带宽 ,实现 异地 网 络 的 互 连 通 。 

IPSec 协议 通过 包 封 装 技术 ,能 够 利用 Internet 可 路 由 的 地 址 ,封装 内 部 网 络 的 卫 地 
址 ,实现 异地 网 络 的 互通 。 


2. 包 封装 协议 


设想 现实 中 的 一 种 通信 和 方式。 假定 发 信和 收 信 需 要 有 身份 证 (成 年 人 才 有 ) ,儿童 没有 
身份 证 ,不 能 发 信 收 信 。 有 2 个 儿童 一 一 小 张 和 小 李 , 他 们 的 老 爸 是 老 张 和 老 李 。 现 在 小 张 
和 小 李 要 写 信 互 通 , 怎 么 办 ? 

一 种 合理 的 实现 方式 是 : 小 张 写 好 一 封 信 , 封 皮 写 上 * 小 张 一 小 李 ”, 然后 给 他 和 爸爸; 老 
张 写 一 个 信封 , 写 上 * 老 张 一 老 李 ”, 把 前 面 的 那 封 信 套 在 里 面 ,发 给 老 李 。 老 李 收 到 信和 以 后 ， 
打开 ,发 现 这 封 信 是 给 儿子 的 ,就 转 给 小 李 了 。 小 李 回 信也 一 样 ,通过 他 父亲 的 名 义 发 回 给 
小 张 。 

这 种 通信 实现 方式 要 依赖 以 下 几 个 因素 : 

(1) 老 李 和 老 张 可 以 收 信和 发 信 。 

(2) 小 张 发 信 ,把 信件 交 给 老 张 。 

(3) 老 张 收 到 儿子 的 来 信 以 后 ,能够 正确 地 处 理 ( 写 好 另外 一 个 信封 ) .并且 重 新 包装 过 
的 信封 能 够 正确 送出 去 。 

(4) 另外 一 端 , 老 李 收 到 信 拆 开 以 后 ,能 够 正确 地 交 给 小 李 。 

(5) 反 过 来 的 流程 一 样 。 

把 信封 的 收发 人 改 成 Internet 上 的 IP 地 址 ,把 信件 的 内 容 改 成 IP 的 数据 ,这 个 模型 就 
是 IPSec 的 包 封装 模型 。 小 张 和 小 李 就 是 内 部 私 网 的 IP 主机 ,他 们 的 老 爸 就 是 VPN 网 关 ， 
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本 来 不 能 通信 的 两 个 异地 的 局 域 网 ,通过 出 口 处 的 IP 地 址 封装 ,就 可 以 实现 局 域 网 对 局 域 
网 的 通信 。 

引进 这 种 包 封装 协议 实在 是 有 点 不 得 已 。 理 想 的 组 网 方式 当然 是 全 路 由 方式 , 即 任意 
节点 之 间 可 达 ( 就 像 理 想 的 现实 通信 方式 是 任何 人 之 间 都 可 以 直接 写 信 互通 一 样 )。 

Internet 协议 最 初 设计 的 时 候 ,IP 地 址 是 32 位 ,当时 是 足够 了 ,没有 人 能 够 预料 到 将 来 
Internet 会 发 展 到 现在 的 规模 (相同 的 例子 发 生 在 电信 短 消息 上 面 ,由 于 160B 的 限制 ,很 大 
地 制约 了 短 消息 的 发 展 )。 按 照 2* 计 算 , 理 论 上 最 多 能 够 容纳 40 亿 个 左右 卫 地址。 这 些 
IP 地 址 的 利用 是 很 不 充分 的 ,另外 大 约 有 70% 左 右 的 IP 地 址 被 美国 分 配 掉 了 ,所 以 对 于 中 
国 来 说 ,可 供 分 配 的 IP 地 址 资源 非常 有 限 。 

既然 IP 地 址 有 限 , 又 要 实现 异地 LAN-LAN 通信 , 包 封装 自然 是 最 好 的 方式 了 。 


3. 安全 协议 (加 密 ) 


依然 参照 上 述 的 通信 模型 。 

假定 老 张 给 老 李 的 信件 要 通过 邮政 系统 传递 ,而 中 间 途 径 有 很 多 好 事 之 徒 , 很 想 偷 看 小 
张 和 小 李 ( 小 张 和 小 李 作 生意 , 通 的 是 买卖 信息 ) 通 信 的 内 容 , 或 者 破坏 其 好 事 。 

要 解决 这 个 问题 ,就 要 引进 安全 措施 。 安 全 可 以 让 小 李 和 小 张 自 己 来 完成 ,文字 用 上 暗号 
来 表示 ;也 可 以 让 他 们 的 老 爸 代劳 完成 , 写 好 信 , 交 给 老 爸 ,告诉 他 传 出 去 之 前 重新 用 上 暗号 写 
一 和 

IPSec 协议 的 加 密 技术 和 上 述 通信 模型 采用 的 方式 是 一 样 的 ,既然 能 够 把 数据 封装 起 
来 ,自然 也 可 以 对 数据 进行 变换 ,只 要 到 达 目 的 地 的 时 候 能 够 把 数据 恢复 成 原来 的 样子 就 可 
以 了 。 这 个 加 密 工作 在 Internet 出 口 的 VPN 网 关上 完成 。 


4. 安全 协议 (数据 认证 ) 


还 是 以 上 述 通信 模型 为 例 , 仅 仅 有 加 密 是 不 够 的 。 

把 数据 加 密 , 对 应 于 上 述 模型 ,是 把 信件 的 文字 用 暗号 表示 。 

好 事 之 徒 无 法 破解 信件 ,但 是 可 以 伪造 一 封 信 , 或 者 胡乱 把 信件 改 一 通 。 这 样 ,信件 到 
达 目 的 地 以 后 ,内 容 就 面目 全 非 了 ,而 且 收 信 一 方 不 知道 这 封 信和 是 被 修改 过 的 。 

为 了 防止 这 种 结果 ,就 要 引入 数据 防 自 改 机 制 。 万 一 数据 被 非法 修改 ,能 够 很 快 识别 出 
来 。 这 在 现实 通信 中 可 以 采用 类 似 如 下 的 算法 : 计算 信件 特征 (比如 统计 这 封 信件 的 笔划 
或 有 多 少 字 等 ) ,然后 把 这 些 特征 用 上 暗号 标识 在 信件 后 面 。 收 信人 会 检验 这 个 信件 特征 ,由 
于 信件 改变 ,特征 也 会 变 。 所 以 ,如 果 修 改 人 没有 暗号 , 改 了 以 后 ,数据 特征 值 就 不 匹配 了 。 
收 信 人 可 以 看 出 来 。 

实际 的 IPSec 通信 的 数据 认证 也 是 这 样 的 ,使 用 MD5 算法 计算 报 文 特征 , 报 文 还 原 以 
后 ,就 会 检查 这 个 特征 码 , 看 看 是 否 匹 配 ,以 证 明 数据 在 传输 过 程 中 是 否 被 自 改 。 


5. 安全 协议 (身份 认证 ) 


还 是 以 上 述 通信 模型 为 例 。 

由 于 老 张 和 老 李 不 在 一 个 地 方 , 他 们 互相 不 能 见面 ,为 了 保证 他 们 儿子 通信 的 安全 , 老 
张 和 老 李 必 须要 相互 确认 对 方 是 否 可 信 , 这 就 是 身份 认证 问题 。 

假定 老 李 和 老 张 以 前 见 过 面 , 他 们 事先 就 约定 了 通信 暗号 ,比如 1234567890 对 应 
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abcdefghij ,那么 255 对 应 的 就 是 bee。 
常见 的 VPN 身份 认证 可 以 包括 预 共享 密 钥 ,通信 双方 约定 加 密 解 密 的 密码 ,直接 通信 
就 可 以 了 。 能 够 通信 就 是 朋友 ,不 能 通信 就 是 坏人 .区 分 起 来 很 简单 。 
其 他 复杂 的 身份 认证 机 制 包括 证 书 ( 电 子 证 书 ,比如 x509 之 类 的 ) ,这 里 不 做 具体 介绍 。 
如 果 有 了 身份 认证 机 制 , 密 钥 的 经 常 更 换 就 成 为 可 能 。 


6. 其 他 


解决 了 上 述 几 个 问题 ,基本 可 以 保证 VPN 通信 模型 能 够 建立 起 来 了 。 但 这 只 是 最 简单 
的 VPN, 即 通过 对 端 两 个 静态 的 IP 地 址 实现 异地 网 络 的 互 连 。 美 国 的 很 多 VPN 设备 就 做 
到 这 一 级 ,因为 美国 IP 地 址 充裕 ,分 配 静 态 IP 地 址 没有 问题 。 而 对 于 中 国 客户 ,两 端 都 需 
要 静态 IP 地 址 ,相当 于 两 根 Internet 专线 接 入 。 

VPN 要 在 中 国 应 用 ,还 要 解决 很 多 相关 问题 。 

1) IPSec 通过 包 封 装 的 方法 

通过 Internet 建立 了 一 个 通信 的 隧道 ,通过 这 个 通信 的 隧道 就 可 以 建立 起 网 络 的 连接 。 
但 是 这 个 模型 并 非 完美 ,仍然 有 很 多 问题 需要 解决 。 

在 讲述 其 他 问题 以 前 , 先 对 VPN 的 几 个 概念 进行 定义 。 

(1) VPN 节点 : 一 个 VPN 节点 可 能 是 一 台 VPN 网 关 , 也 可 能 是 一 个 客户 端 软件 。 在 
VPN 组 网 中 间 , 属 于 组 网 的 一 个 通信 节点 。 它 应 该 能 够 连接 Internet。 有 可 能 是 直接 连接 ， 
比如 ADSL 和 电话 拨号 等 ,也 可 能 是 通过 NAT 方式 ,例如 小 区 宽带 .CDMA 上 网 和 铁通 线 
路 等 。 

(2) VPN 隧道 : 在 两 个 VPN 节点 之 间 建 立 的 一 个 虚拟 链 路 通道 。 两 个 设备 内 部 的 网 
络 能 够 通过 这 个 虚拟 的 数据 链 路 到 达 对 方 。 与 此 相关 的 信息 是 两 个 VPN 节点 的 IP 地址 、 
隧道 名 称 和 双方 的 密 钥 。 

(3) 隧道 路 由 : 一 个 设备 可 能 和 很 多 设备 建立 隧道 ,这 就 存在 一 个 隧道 选择 的 问题 , 即 
到 什么 目的 地 ? 走 哪 一 个 隧道 ? 

用 前 面 的 通信 模型 来 说 , 老 李 和 老 张 就 是 隧道 节点 ,他 们 通过 邮政 系统 建立 的 密码 通信 
关系 就 是 一 个 数据 隧道 ,小 张 和 小 李 把 信 发 给 他 们 老 爸 的 时 候 , 他 们 老 爸 要 作出 抉择 : 这 封 
信 怎么 封装 ? 封装 以 后 送 给 谁 ? 假如 还 有 一 个 老 王 和 他 的 儿子 也 要 通信 ,这 时 候 隧道 路 由 
就 比较 好 理解 了 : 送 给 小 王 的 数据 就 封装 发 给 老 王 , 送 给 小 李 的 数据 就 封装 发 给 老 李 。 如 
果 节 点 非常 多 ,那么 这 个 隧道 路 由 就 会 比较 复杂 。 

理解 了 以 上 的 问题 ,我们 就 知道 ,IPSec 要 解决 的 问题 可 以 描述 如 下 : 

找到 对 方 的 VPN 节点 设备 ,如 果 对 方 是 动态 IP 地 址 ,那么 必须 能 够 通过 一 种 有 效 途 径 
及 时 发 现 对 方 IP 地 址 的 变化 。 按 照 通信 模型 ,就 是 老 李 和 老 张 如 果 经 常 搬家 的 话 ,必须 有 
一 个 有 效 的 机 制 能 够 及 时 发 现 老 李 和 老 张 地 址 的 变化 。 

2) 建立 隧道 

如 果 两 个 设备 都 有 合法 的 公 网 IP, 那 么 建立 一 个 隧道 是 比较 容易 的 。 如 果 一 方 在 
nat 之 后 , 则 比较 麻烦 。 一 般 通 过 内 部 的 VPN 节点 发 起 一 个 UDP 连接 ,再 封装 一 次 IPSec 
送 到 对 方 ,因为 UDP 可 以 通过 防火 墙 进行 记忆 ,因此 通过 UDP 再 封装 的 IPSec 包 可 以 通过 
防火 墙 来 回 传递 。 

建立 隧道 以 后 ,就 要 确定 隧道 路 由 , 即 到 哪里 去 , 走 哪个 隧道 。 很 多 VPN 在 隧道 配置 的 
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时 候 就 定义 了 保护 网 络 ,这 样 ,隧道 路 由 就 根据 保护 的 网 络 关系 来 决定 。 但 是 这 丧失 了 一 定 
的 灵活 性 。 

3) IPSec VPN 的 类 型 

常见 的 IPSec VPN 类 型 有 站 到 站 (site to site 或 LAN to LAN) .easy VPN( 远 程 访 问 
VPN) .DMVPN( 动 态 多 点 VPN) 和 GET VPN(Group Encrypted Transport VPN) 等 。 

4) 怎样 找到 VPN 节点 设备 

假如 设备 都 是 动态 拨号 方式 的 话 , 那 么 一 定 需要 一 个 合适 的 静态 的 第 三 方 来 进行 解析 。 
相当 于 两 个 总 是 不 停 搬 家 的 人 要 想 找 到 对 方 ,一定 需要 一 个 大 家 都 认识 的 朋友 ,这 个 朋友 不 
搬家 ,两 个 人 都 能 够 联系 上 他 。 

静态 的 第 三 方 有 以 下 3 种 常见 的 实现 方式 : 

(1) 通过 网 页 。 这 是 深信 服 公 司 发 明 的 一 种 技术 ,通过 Web 页 解析 IP 地 址 。 可 以 登录 
http://www. 123cha. com/ ,就 可 以 查找 到 当前 的 IP 地 址 。 因 此 ,动态 的 设备 可 以 通过 这 
种 方式 把 自己 当前 的 IP 地 址 提交 上 去 。 其 他 设备 可 以 通过 网 页 查询 。 这 样 ,设备 之 间 就 可 
以 通过 这 个 网 页 互相 找到 。 因 为 网 页 是 相对 固定 的 ,所 以 这 种 方式 能 够 很 有 效 地 解决 这 个 
问题 。 这 种 方式 能 够 有 效 地 分 散 集中 认证 的 风险 ,而 且 很 容易 实现 备份 ,属于 比较 巧妙 的 一 
种 解决 方案 。 当 然 , Web 页 可 能 受到 比较 多 的 攻击 ,因此 ,要 注意 安全 防范 。 

(2) 通过 一 个 集中 的 服务 器 实现 统一 解析 ,然后 对 用 户 进行 分 组 。 每 个 VPN 设备 只 能 
看 到 同 组 的 其 他 设备 ,不 能 跨 组 访问 。 这 种 方式 也 可 以 通过 目录 服务 器 实现 。 这 种 方式 适 
合集 中 式 的 VPN ,在 企业 总 部 部 署 服务 器 ,实现 全 局 设备 的 统一 认证 和 管理 。 它 不 太 适 合 
零散 用 户 的 认证 ,因为 存在 一 个 信任 问题 ,客户 会 质疑 管理 服务 器 如 果 出 现 了 问题 ,有 可 能 
其 他 设备 就 能 够 连接 到 自己 的 VPN 域 中 。 这 种 很 多 国内 外 的 VPN 厂商 都 有 专门 的 大 型 的 
集中 VPN 管理 设备 或 软件 , 它 除 了 能 够 进行 动态 IP 地 址 解析 ,还 能 够 实现 在 线 认 证 等 功 
能 。 如 果 管 理 中 心 职能 比较 强 , 可 以 集中 制订 通信 策略 ,下 面 的 VPN 设备 的 配置 参数 相应 
地 比较 少 。 

(3) 通过 DDNS, 即 动态 域名 。 动 态 域名 是 一 种 相对 平衡 的 技术 。VPN 设备 拨号 以 后 ， 
把 自己 当前 的 IP 地 址 注册 给 一 级 域名 服务 器 ,并 且 更 新 自己 的 二 级 域名 IP 地 址 ,Internet 
其 他 用 户 通过 这 个 二 级 域名 就 可 以 查找 到 它 。 例 如 ,动态 域名 服务 器 的 名 称 是 99ip. net, 二 
级 域名 是 abc. 99ip. net, 则 VPN 设备 通过 一 个 软件 提交 给 服务 器 ,把 abc. 99ip. net 漂移 成 
当前 的 IP 地 址 。 但 是 ,有 时 也 会 遇 到 DNS 缓存 问题 。VPN 厂家 如 果 自 身 提供 DDNS 服 
务 ,就 可 以 通过 内 部 协议 把 查询 速度 加 快 . 并 且 避 免 DNS 缓冲 带 来 的 问题 。 

解决 了 动态 IP 地 址 问题 ,按照 之 前 的 通信 模型 ,在 VPN 设备 不 是 很 多 的 情况 下 就 可 以 
组 网 了 。 

5) 如 何 建立 隧道 

UDP 和 TCP 是 可 以 穿越 防火 墙 的 。 直 接 的 IPSec 封装 不 能 穿越 防火 墙 ,因为 防火 墙 需 
要 更 改 端口 信息 ,这样 回 来 的 数据 包 才 能 转 到 正确 的 内 部 主机 。 用 UDP 穿越 防火 墙 显然 比 
较 合适 ,因为 使 用 TCP 不 仅 三 次 握手 时 间 很 长 ,而 且 还 有 来 回 的 确认 。 而 实际 上 ,这 些 工作 
属于 IPSec 内 部 封装 的 报 文 要 干 的 事情 , 放 在 这 里 完成 是 不 合适 的 。 因 此 ,用 UDP 来 封装 
IPSec 报 文 ,以 穿越 NAT, 几 乎 是 唯一 可 以 选择 的 方案 。 

用 UDP 穿越 NAT 防火 墙 只 解决 了 问题 的 一 半 , 因 为 这 要 求 至 少 有 一 方 处 于 Internet 公 
网 上 面 ,有 可 路 由 的 全 地 址 。 而 有 时 会 发 生 两 个 VPN 节点 都 在 NAT 之 后 的 情景 ,这 只 能 通 
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过 第 三 方 转发 来 完成 。 即 两 个 设备 都 可 以 与 第 三 方 设备 互通 ,第 三 方 设备 为 双方 进行 转发 。 
这 可 以 通过 之 前 的 模型 解释 , 老 张 和 老 李 不 能 直接 通信 ,他 们 都 可 以 与 老 王 通信 , 老 王 就 可 以 
在 中 间 进 行 转发 。 凡 是 小 李 和 小 张 的 通信 ,在 交 给 他 们 老 爸 以 后 ,由 老 王 最 后 进行 转交 。 这 时 
隧道 路 由 的 概念 就 很 清晰 了 ,不 能 一 个 隧道 直接 到 达 时 ,可 以 在 几 个 隧道 之 间 转 发 。 

所 以 ,IPSec VPN 并 不 神秘 。 所 有 核心 的 工作 无 非 就 是 围绕 以 下 问题 展开 。 

6) 如 何 找到 与 本 VPN 节点 相关 的 其 他 节点 

协商 出 一 个 可 以 通信 的 隧道 。 建 立 隧 道路 由 表 , 确 定 不 同 的 目标 地 址 , 走 不 同 的 隧道 。 

假定 以 上 的 问题 都 得 到 了 解决 ,通过 某 种 方式 ,动态 IP 地 址 的 VPN 节点 可 以 相互 找到 
对 方 ,并 且 能 够 建立 隧道 ,因此 也 能 够 实现 隧道 路 由 通信 。 至 此 ,是 不 是 一 个 完整 的 VPN 就 
能 够 实现 了 呢 ? 

答案 仍然 是 否定 的 ,解决 了 以 上 问题 ,并 不 代表 一 个 很 好 用 的 VPN 产品 ,仍然 有 很 多 其 
他 问题 。 之 后 的 问题 是 围绕 着 复杂 人 性 展开 的 ,简单 的 原理 实现 之 后 , 剩 下 的 工作 就 是 要 解决 
全 部 相关 的 边缘 问题 ,才能 够 实现 一 个 好 用 的 东西 。 能 用 是 一 回 事 , 好 用 是 另外 一 回 事 。 


7.6.3 MPLS VPN 和 IPSec VPN 技术 比较 


1. VPN 分 类 


当前 ,由 于 侧重 点 不 同 ,VPN 可 以 分 为 两 类 : 

一 类 侧重 于 网 络 层 的 信息 保护 ,提供 各 种 加 密 安全 机 制 以 便 灵活 地 支持 认证 ,完整 性 、 
访问 控制 和 密码 服务 ,保证 信息 传送 过 程 中 的 保密 性 和 不 可 算 改 性 。 这 类 协议 包括 IPSec、 
PPTP 和 L2TP 等 。 其 中 ,IPSec 已 经 成 为 国际 标准 的 协议 ,并 得 到 几乎 所 有 主流 安全 厂商 
的 支持 ,如 Cisco Checkpoint 和 Netscreen 等 。 主 要 的 应 用 领域 为 各 种 涉及 信息 安全 和 加 密 
的 应 用 ,如 金融 ,证券 . 地 税 、 财 政工 商 、 商 检 、 信 息 中 心 和 科 委 等 各 部 门 , 上 下 级 机 构 传送 敏 
感 的 信息 和 建设 安全 OA 系统 和 召开 保密 视频 会 议和 保证 业务 流程 中 数据 的 机 密 性 与 完 
整 性 。 

另 一 类 VPN 技术 以 MPLS 技术 为 代表 ,主要 考虑 的 问题 是 如 何 保证 网 络 的 服务 质量 
(QoS) 。 通 过 定义 资源 预 留 协 议 .QoS 协议 和 主机 行为 来 保证 网 络 服务 的 水 平 ,如 时 延 和 带 
宽 等 。 

VPN 服务 目的 是 在 共享 的 基础 网 络 设施 上 向 用 户 提 供 安全 的 网 络 连接 。 合 理 和 实用 
的 VPN 解决 方案 应 能 够 抗拒 非法 入 侵 ,防范 网 络 阻塞 ,而 且 应 能 保证 安全 ,稳定 的 网 络 通 
信 。 同 时 , VPN 还 应 该 具有 良好 的 可 管理 性 和 可 伸缩 性 等 特征 。 目 前 , MPLS VPN 和 
IPSec VPN 两 种 技术 架构 正 逐 渐 被 应 用 于 新 兴 电 讯 服务 的 基础 网 络 领域 。 

在 理论 上 ,MPLS VPN 是 RFC 2547 定义 的 允许 服务 提供 商 使 用 其 IP 骨干 网 为 用 户 提 
供 VPN 服务 的 一 种 机 制 。RFC 2547 也 被 称 为 MPLS VPN, 是 因为 BGP 被 用 来 在 提供 商 
骨干 网 中 发 布 VPN 路 由 信息 ,而 MPLS 被 用 来 将 VPN 业务 从 一 个 VPN 站 点 转发 至 另 一 
个 站 点 。MPLS VPN 能 够 利用 公用 骨干 网 络 强大 的 传输 能 力 降 低 企 业内 部 网 络 /Internet 
的 建设 成 本 , 极 大 地 提高 用 户 网 络 运营 和 管理 的 灵活 性 ,同时 能 够 满足 用 户 对 信息 传输 安全 
性 、 实 时 性 、 宽 频带 和 方便 性 的 需要 。 

IPSec 是 由 IETF 的 IPSec 工作 组 定义 的 一 种 开放 源 代码 框架 。IPSec 的 工作 组 对 数据 
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源 认证 \ 数 据 完整 性 、 重 播 保护 、 密 钥 管 理 以 及 数据 机 密 性 等 主要 的 有 关 方 面 定义 了 特定 协 
议 。IPSec 通过 激活 系统 所 需要 的 安全 协议 ,确定 用 于 服务 的 算法 及 所 要 求 的 密 钥 来 提供 安 
全 服务 。 由 于 这 些 服务 在 IP 层 提供 ,能 被 更 高 层次 的 协议 所 利用 (如 TCP、UDP、ICMP 和 
BGP 等 ) ,并且 对 于 应 用 程序 和 终端 用 户 来 说 是 透明 的 ,所 以 ,应 用 和 终端 用 户 不 需要 更 改 程 
序 和 进行 安全 方面 的 专门 培训 ,同时 对 现 有 网 络 的 改动 也 最 小 。 


2. MPLS VPN 和 IPSec VPN 比较 


两 者 VPN 技术 上 可 以 互相 补充 ,相互 融合 。 一 般 采 用 IPSec 技术 建设 基于 因特网 的 安 
全 内 联网 或 外 联网 , 当 用 户 对 网 络 带宽 .QoS 有 更 高 要 求 时 ,可 以 进一步 部 署 MPLS VPN， 
以 提升 应 用 的 稳定 性 。 

IPSec VPN 和 MPLS VPN 之 间 的 一 个 关键 差异 是 MPLS 在 性 能 .可 用 性 以 及 服务 等 
级 上 提供 了 SLA(Service Level Agreement) 。 而 它 对 于 建立 在 IPSec 设备 上 的 VPN 来 说 
则 是 不 可 用 的 ,因为 IPSec 设备 利用 Internet 接 人 服务 直接 挂 接 在 Internet 上 。 

同时 ,IPSec VPN 与 MPLS VPN 两 者 所 面向 的 应 用 领域 是 不 同 的 ,在 安全 性 是 VPN 
网 络 设计 时 考虑 的 首要 因素 时 ,应 当 采 用 IPSec VPN。 因 为 MPLS VPN 不 提供 加 密 、 认 证 
等 安全 服务 。IPSec VPN 可 以 使 分 布 在 不 同 地 方 的 专用 网 络 在 不 可 信任 的 公共 网 络 上 安全 
地 通信 ,采用 复杂 的 算法 来 加 密 传输 的 信息 ,使 得 敏感 的 数据 不 会 被 窃听 。 

MPLS VPN 主要 是 用 于 建设 全 网 状 结构 的 数据 专线 ,保证 局 域 网 互 连 的 带宽 与 服务 质 
量 。 总 部 与 下 面 的 分 支 机 构 互 连 时 ,如 果 使 用 公 网 , 则 带宽 .时 延 等 在 很 大 程度 上 受 公 网 的 
网 络 状况 制约 。 而 部 署 MPLS VPN 后 ,可 以 保证 网 络 服 务 质量 ,从 而 保证 一 些 对 时 延 敏感 
的 应 用 稳定 运行 ,如 分 布 异 地 的 实时 交易 系统 ,视频 会 议和 IP 电话 等 。 

VPN 的 服务 目的 就 是 在 基础 公共 网 络 上 向 用 户 提供 网 络 连接 ,不 仅 如 此 ,VPN 连接 应 
使 得 用 户 获 得 等 同 于 专 有 网 络 的 通信 体验 。 合 理 和 实用 的 VPN 解决 方案 应 能 够 抗拒 非法 
入 侵 ,防范 网 络 阻塞 ,而 且 应 能 安全 .及 时 地 交付 用 户 的 重要 数据 ,在 实现 这 些 功能 的 同时 ， 
VPN 还 应 该 具有 良好 的 可 管理 性 。 在 站 点 与 站 点 之 间 实 施 VPN 时 ,网 络 管理 者 应 该 综合 
比较 MPLS 和 IPSec VPN 两 种 方案 ,下 面 的 参数 用 来 比较 这 两 种 解决 方案 。 

1) 数据 机 密 性 

IPSec VPN 通过 强大 的 加 密 算 法 来 保障 数据 的 机 密 性 ,MPLS 通过 在 提供 商 物理 站 点 
间 定 义 一 条 唯一 的 数据 通道 来 加 强 数 据 的 机 密 性 ,这 可 以 禁止 攻击 者 非法 获得 数据 副本 , 除 
非 他 们 在 提供 商 的 网 络 上 放置 镜像 器 。 尽 管 MPLS 使 数据 被 窃取 的 机 会 最 小 化 ,但 IPSec 
通过 加 密 可 以 提供 更 好 的 数据 机 密 性 。 第 三 种 方案 是 采用 IPSec over MPLS VPN ,这 样 显 
然 可 以 保证 更 高 水 平 的 数据 机 密 性 。 

2) 数据 完整 性 

IPSec 使 用 散 列 算法 来 保证 数据 的 完整 性 。 对 于 MPLS VPN 来 说 ,没有 什么 根本 的 方 
法 来 保障 数据 的 完整 性 。 然 而 ,通过 地 址 空间 隔离 和 路 由 信息 ,防止 不 熟练 的 攻击 者 对 数据 
的 添加 和 删改 还 是 有 一 定 的 效果 的 。 

3) 数据 有 效 性 

IPSec 基于 Internet 进行 数据 传输 ,尽管 攻击 者 不 能 读 取 数据 ,但 攻击 者 可 以 通过 在 
Internet 路 由 表 中 加 入 错误 路 由 来 旁 路 数据 。MPLS VPN 基于 LSP 来 传输 数据 , 因 LSP 仅 
有 本 地 意义 ,欺骗 攻击 很 难 实现 。BGP 用 于 在 VPN 中 传递 路 由 信息 ,然而 ,BGP 扩展 共同 
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体 属 性 使 错误 路 由 的 引入 相当 困难 ,因此 ,从 这 一 点 上 说 ,MPLS 能 够 提供 更 好 的 数据 有 
效 性 。 

4) Internet 接 人 

大 多 数 IPSec VPN 基于 Internet 传输 数据 ,因此 ,大 多 数 IPSec VPN 体系 结构 允许 
VPN 接 人 到 所 连 的 站 点 。 在 MPLS 体系 结构 中 却 很 难 实现 这 一 点 ,在 MPLS VPN 接 人 
Internet 方案 中 ,通常 选择 分 离 的 Internet 连接 来 保障 整个 VPN 的 安全 性 。 

5) 远程 接 人 

尽管 很 多 提供 商 支 持 远程 接 人 ,但 对 MPLS VPN 来 说 并 不 是 本 来 这 样 ,并 且 ,他 们 要 么 
要 求 远程 接 入 的 用 户 在 相同 的 提供 商 网 络 中 ,要 么 提供 商 必须 实施 相同 级 别 的 MPLS 
VPN。 从 这 一 点 来 看 ,IPSec 在 提供 远程 接 人 方面 有 优越 性 。 

6) 可 扩展 性 

IPSec VPN 难以 扩展 。 因 配置 方面 的 要 求 ,IPSec 通常 是 点 到 点 的 连接 ,MPLS 由 提供 
商 配 置 ,能 够 轻易 地 实现 全 网 状 的 网 络 结构 ,并 且 , MPLS VPN 还 允许 网 络 管理 者 利用 
MPLS 的 特性 ,如 QoS, 因 此 在 企业 环境 中 MPLS VPN 比 IPSec VPN 更 具 扩展 性 。MPLS 
和 IPSec VPN 具有 各 自 的 优点 , MPLS VPN 扩展 性 好 ,能 够 提供 更 好 的 数据 有 效 性 ,而 
IPSec VPN 能 够 保障 更 好 的 数据 机 密 性 和 完整 性 。 

两 种 VPN 都 难以 配置 ,每 一 种 方案 都 应 考虑 应 用 简便 ,然而 ,对 于 点 到 点 连接 ,两 种 方 
案 都 成 立 , 用 户 在 实施 时 应 仔细 分 析 两 种 方案 的 优 缺 点 ,选择 最 适合 自己 的 。 表 7. 2 给 出 了 
MPLS-VPN 和 IPSec VPN 的 比较 。 


表 7.2 MPLS-VPN 和 IPSec VPN 的 比较 


考虑 要 点 (功能 说 明 ) MPLS-VPN IPSec VPN 
客户 组 网 复杂 程度 (实际 工程 设计 和 实施 复杂 程度 ) 低 低 
安全 性 (不 同 级 别 的 安全 性 ,包括 隧道 .加密 、 认 证 和 访问 控制 ) 高 中 
扩展 性 (具备 扩展 性 ,易于 升级 ) 高 高 
QoS( 对 关键 任务 或 时 延 敏感 的 流量 分 配 不 同 的 优先 级 别 ? 高 无 法 保证 
用 户 成 本 (投资 VPN 的 直接 和 间接 成 本 ) 中 低 


7.6.4 虚拟 专 网 需求 及 解决 方案 


VPN 可 以 帮助 远程 用 户 、 公 司 分 支 机 构 、 商 业 伙伴 及 供应 商 同 公司 的 内 部 网 建立 可 信 
的 安全 连接 ,并 保证 数据 的 安全 传输 。 通 过 将 数据 流转 移 到 低 成 本 的 IP 网 络 上 ,一 个 企业 
的 虚拟 专用 网 解决 方案 将 大 幅度 地 减少 用 户 花 费 在 城 域 网 和 远程 网 络 连接 上 的 费用 。 同 
时 ,这 将 简化 网 络 的 设计 和 管理 ,加 速 连接 新 的 用 户 和 网 站 。 

另外 ,虚拟 专用 网 还 可 以 保护 现 有 的 网 络 投资 。 随 着 用 户 的 商业 服务 不 断 发 展 ,企业 的 
虚拟 专用 网 解决 方案 可 以 使 用 户 将 精力 集中 到 自己 的 生意 上 ,而 不 是 网 络 上 。 虚 拟 专用 网 
可 用 于 不 断 增长 的 移动 用 户 的 全 球 因 特 网 接 入 ,以 实现 安全 连接 ;可 用 于 实现 企业 网 站 之 间 
安全 通信 的 虚拟 专用 线路 ,用 于 经 济 有 效 地 连接 到 商业 伙伴 和 用 户 的 安全 外 联网 虚拟 专 
用 网 。 
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1. 需求 及 解决 方案 


目前 很 多 单位 都 面临 着 这 样 的 挑战 : 分 公司 、 经 销 商 、 合 作 伙伴 、 客 户 和 外 地 出 差 人 员 
要 求 随时 经 过 公用 网 访问 公司 的 资源 ,这 些 资 源 包括 公司 的 内 部 资料 .OA 系统 `.ERP 系统 、 
CRM 系统 和 项 目 管理 系统 等 。 现 在 很 多 公司 通过 使 用 IPSec VPN 来 保证 公司 总 部 和 分 支 
机 构 以 及 移动 工作 人 员 之 间 的 安全 连接 。 

针对 不 同 的 用 户 要 求 ,VPN 有 3 种 解决 方案 : 远程 访问 虚拟 网 (Access VPN) ,企业 内 
部 虚拟 网 (Intranet VPN) 和 企业 扩展 虚拟 网 (Extranet VPN) ,这 3 种 类 型 的 VPN 分 别 与 传 
统 的 远程 访问 网 络 、 企 业内 部 的 Intranet 以 及 企业 网 和 相关 合作 伙伴 的 企业 网 所 构成 的 
Extranet( 外 部 扩展 ) 相 对 应 。 

1) 远程 访问 虚拟 网 (Access VPN) 

如 果 企 业 的 内 部 人 员 有 移动 办 公 或 远程 办 公 需 要 ,或 者 商家 要 提供 B2C 的 安全 访问 服 
务 ,就 可 以 考虑 使 用 Access VPN。 它 通过 一 个 拥有 与 专用 网 络 相 同 策略 的 共享 基础 设施 ， 
提供 对 企业 内 部 网 或 外 部 网 的 远程 访问 。Access VPN 能 使 用 户 随 时 、 随 地 以 其 所 需 的 方式 
访问 企业 资源 。Access VPN 包括 模拟 、 拨 号 ISDN .数字 用 户 线路 (xDSL) ,移动 IP 和 电缆 
技术 ,能 够 安全 地 连接 移动 用 户 .远程 工作 者 或 分 支 机 构 。 

Access VPN 最 适用 于 公司 内 部 经 常 有 流动 人 员 远 程 办 公 的 情况 。 出 差 员工 利用 当地 
ISP 提供 的 VPN 服务 ,就 可 以 和 公司 的 VPN 网 关 建立 私有 的 隧道 连接 。RADIUS 服务 器 
可 对 员工 进行 验证 和 授权 ,保证 连接 的 安全 ,同时 负担 的 电话 费用 大 大 降低 。 

2) 企业 内 部 虚拟 网 (Intranet VPN) 

如 果 要 进行 企业 内 部 各 分 支 机 构 的 互 连 , 使 用 Intranet VPN 是 很 好 的 方式 。 

越 来 越 多 的 企业 需要 在 全 国力 至 世界 范围 内 建立 各 种 办 事 机 构 、 分 公司 和 研究 所 等 ,各 
个 分 公司 之 间 传 统 的 网 络 连接 方式 一 般 是 租用 专线 。 显 然 , 在 分 公司 增多 .业务 开展 越 来 越 
广泛 时 ,网 络 结构 趋 于 复杂 ,费用 昂贵 。 利 用 VPN 特性 可 以 在 Internet 上 组 建 世界 范围 内 
的 Intranet VPN。 利 用 Internet 的 线路 保证 网 络 的 互联 性 ,而 利用 隧道 .加密 等 VPN 特性 
可 以 保证 信息 在 整个 Intranet VPN 上 安全 传输 。Intranet VPN 通过 一 个 使 用 专用 连接 的 
共享 基础 设施 ,连接 企业 总 部 .远程 办 事 处 和 分 支 机 构 。 企 业 拥有 与 专用 网 络 相同 的 政策 ， 
包括 安全 、 服 务 质量 (QoS) 可 管理 性 和 可 靠 性 。 

3) 企业 扩展 虚拟 网 (Extranet VPN) 

如 果 是 提供 B2B 的 安全 访问 服务 , 则 可 以 考虑 Extranet VPN。 

随 着 信息 时 代 的 到 来 ,各 个 企业 越 来 越 重视 各 种 信息 的 处 理 。 希 望 可 以 提供 给 客户 最 
快捷 方便 的 信息 服务 ,通过 各 种 方式 了 解 客户 的 需要 ,同时 各 个 企业 之 间 的 合作 关系 也 越 来 
越 多 ,信息 交换 日 益 频繁 。Internet 为 这 样 的 一 种 发 展 趋势 提供 了 和 良好 的 基础 ,而 如 何 利 用 
Internet 进行 有 效 的 信息 管理 ,是 企业 发 展 中 不 可 避免 的 一 个 关键 问题 。 利 用 VPN 技术 可 
以 组 建安 全 的 Extranet, 既 可 以 向 客户 和 合作 伙伴 提供 有 效 的 信息 服务 ,又 可 以 保证 自身 的 
内 部 网 络 的 安全 。 

Extranet VPN 通过 一 个 使 用 专用 连接 的 共享 基础 设施 ,将 客户 、 供 应 商 、 合 作 伙伴 或 兴 
趣 群 体 连接 到 企业 内 部 网 。 企 业 拥有 与 专用 网 络 相同 的 政策 .包括 安全 ,服务 质量 (QoS)、 
可 管理 性 和 可 靠 性 。 
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2. 实际 VPN 案例 


常州 某 医疗 器 械 有 限 公司 由 于 业务 上 的 扩大 ,公司 内 部 以 及 各 分 支 机 构 网 络 运行 有 多 
种 企业 应 用 ,如 内 部 文档 共用 服务 .ERP 系统 以 及 PDM 数据 库 服务 器 。 由 于 信息 化 系统 对 
于 经 营 竞争 力 有 显著 的 提升 ,估计 公司 未 来 可 能 开发 更 多 的 内 部 应 用 ,如 Client/Server 模 
式 的 应 用 软件 (TCP .UDP 或 TCP/UDP 协议 的 应 用 ) ,因此 人 允许 不 同 的 用 户 对 于 应 用 系统 
的 访问 有 其 必要 。 

现在 总 公司 通过 防火 墙 接 人 互联 网 ,总 部 至 少 200 台 计 算 机 连 人 互联 网 ,还 要 考虑 到 随 
着 公司 以 后 的 发 展 增加 接 入 信息 点 ,同时 实现 各 分 公司 通过 相关 设备 连接 到 总 部 网 络 , 同 时 
还 内 建 SQL Server 数据 库 服 务 器 以 提供 相关 数据 服务 ,建立 ERP 服务 器 以 提供 公司 人 事 
管理 查询 .添加 和 修改 相关 信息 等 要 求 。 

常州 分 厂 保证 至 少 20 台 计算 机 连 和 互联 网 ;实现 了 办 公 网 络 自动 化 。 上 海 分 公司 至 少 
10 台 计 算 机 连 人 互联 网 。 还 要 考虑 到 随 着 公司 以 后 的 发 展 增加 接 人 信息 点 ,同时 与 总 部 实 
现 互 连 。 访 问 公司 总 部 SQL Server 服务 器 ,PDM 服务 器 ; 提交、 查询 和 修改 数据 库 相 关 信 
息 :连接 公司 金蝶 K3 ERP 系统 提交 ,查询 与 修改 相关 信息 等 要 求 。 在 各 分 支 机 构 和 总 公司 
之 间 创 造 一 个 集成 化 的 办 公 环 境 , 为 工作 人 员 提 供 多 功能 的 桌面 办 公 环 境 , 解 决 办 公 人 员 处 
理 不 同事 务 需 要 使 用 不 同 工 作 环境 的 问题 。 

在 了 解 了 医疗 器 械 有 限 公司 整个 网 络 状况 和 企业 领导 要 求 后 ,考虑 到 下 一 代 网 络 业务 
(VoIP, 网 络 视频 会 议 ) 对 带宽 的 要 求 , 决 定 采 用 侠 诺 Qno FVR9208 VPN 防火 墙 作 为 总 部 
的 VPN 网 关 , 接 人 电信 的 100MB 光纤 一 条 ;鉴于 分 公司 的 规模 ,上 海 分 公司 和 常州 分 厂 均 
采用 Qno QVM100 作为 接 入 端的 VPN 网 关 , 接 入 电信 的 ADSL 宽带 一 条 。Qno FVR9208 
和 QVM100 都 具有 双 WAN 口 ,为 以 后 公司 的 VPN 链 路 备 援 提供 了 升级 条 件 , 保 障 了 客户 
的 投资 。 该 VPN 的 拓扑 结构 如 图 7. 19 所 示 。 


电信 线路 


FVR9208 


协同 OA 服务 器 一 
协同 OA 服务 器 | 常州 总 部 


a 


常州 分 厂 上 海 分 公司 


图 719 本 VPN 案 例 的 拓扑 结构 


本 方案 达到 以 下 的 设 定 目 标 : 
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(1) 常州 总 部 与 上 海 分 公司 .常州 分 厂 通过 VPN 联机 采用 IPSec 协定 ,确保 传输 数据 的 
安 和 村。 

(2) 多 WAN 口 的 设计 可 满足 不 同 带 宽 的 需求 .也 可 同时 满足 VPN 备 援 功能 的 要 求 ， 
提供 了 更 多 的 安全 保障 。 公 司 领导 对 于 VPN 联机 要 求 高 度 稳定 ,即使 断 线 也 要 立即 接 回 或 
可 经 由 备 援 接 回 , 不 影响 正常 运作 。 

(3) 管制 内 网 用 户 上 网 行为 ,限制 内 网 用 户 使 用 BT、 点 点 通 或 对 使 用 MSN、QQ 或 上 网 
限定 时 间 。 

(4) 解决 了 病毒 问题 ,通过 路 由 器 的 设置 解决 了 因 黑 客 攻 击 而 使 网 速 受 影响 或 内 网 用 
户 常 被 病毒 侵扰 的 问题 。 


7.7 黑客 


黑客 最 早 源 自 英文 单词 Hacker, 这 个 词 早 期 在 美国 的 计算 机 界 是 带 有 蛮 义 的 , 原 指 热 
心 于 计算 机 技术 、 水 平 高 超 的 计算 机 专家 ,尤其 是 程序 设计 人 员 。 但 到 了 今天 ,黑客 一 词 已 
被 用 于 泛 指 那些 专门 利用 计算 机 网 络 搞 破坏 或 恶作剧 的 人 。 对 这 些 人 的 正确 英文 叫 法 是 
Cracker, 有 人 翻译 成 骇 客 。 

黑客 分 为 Hacker 和 Cracker。Hacker 专注 于 研究 技术 ,一 般 不 做 破坏 性 的 事 ;而 
Cracker 则 是 人 们 常 说 的 骇 客 , 专 门 以 破坏 计算 机 为 目的 的 人 。 

黑客 大 体 上 应 该 分 为 * 正 ”“ 邪 ”两 类 ,正派 黑客 依靠 自己 掌握 的 知识 帮助 系统 管理 员 找 
出 系统 中 的 漏洞 并 加 以 完善 ,而 邪 派 黑客 则 是 通过 各 种 黑客 技能 对 系统 进行 攻击 、 入 侵 或 者 
做 其 他 一 些 有 害 于 网 络 的 事情 ,他 们 真正 的 名 字 叫 骇 客 (Cracker) 而 非 黑客 (Hacker) 。 


7.7.1 网 络 黑客 攻击 方法 


黑客 通常 使 用 如 下 技术 手段 寻找 计算 机 中 的 安全 漏洞 。 只 有 了 解 了 他 们 的 攻击 手段 ， 
才能 采取 准确 的 对 策 对 付 他 们 。 


1. 获取 口令 


获取 口令 有 3 种 方法 : 

(1) 通过 网 络 监听 非法 得 到 用 户口 令 , 这 类 方法 有 一 定 的 局 限 性 ,但 危害 性 极 大 ,监听 
者 往往 能 够 获得 其 所 在 网 段 的 所 有 用 户 账号 和 口令 ,对 局 域 网 安全 威胁 巨大 。 

(2) 在 知道 用 户 的 账号 后 (如 电子 邮件 @ 前 面 的 部 分 ) 利 用 一 些 专门 软件 强行 破解 用 户 
口令 ,这 种 方法 不 受 网 段 限 制 ,但 黑客 要 有 足够 的 耐心 和 时 间 。 

(3) 在 获得 一 个 服务 器 上 的 用 户口 令 文件 (此 文件 成 为 Shadow 文件 ) 后 ,用 暴力 破解 程 
序 破 解 用 户口 令 ,使 用 该 方法 的 前 提 是 黑客 获得 口令 的 Shadow 文件 。 此 方法 在 所 有 方法 
中 危害 最 大 ,因为 它 不 需要 像 第 二 种 方法 那样 一 遍 又 一 遍地 尝试 登录 服务 器 ,而 是 在 本 地 将 
加 密 后 的 口令 与 Shadow 文件 中 的 口令 相 比 较 就 能 非常 容易 地 破获 用 户 密码 ,尤其 对 那些 
弱智 用 户 ( 指 口令 安全 系数 极 低 的 用 户 , 如 某 用 户 账号 为 zys, 其 口令 就 是 zys666、666666, 或 
干脆 就 是 zys 等 ) 更 是 在 短 短 的 一 两 分 钟 甚至 几 十 秒 内 就 可 以 被 破解 。 
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2. 特洛伊 木马 程序 


特洛伊 木马 程序 可 以 直接 侵入 用 户 的 计算 机 并 进行 破坏 , 它 常 被 伪装 成 工具 程序 或 者 
游戏 等 , 诱 使 用 户 打开 带 有 特洛伊 木马 程序 的 邮件 附件 或 从 网 上 直接 下 载 。 一 旦 用 户 打 开 
了 这 些 邮 件 的 附件 或 者 执行 了 这 些 程序 之 后 ,它们 就 会 像 古 特洛伊 城 外 的 藏 满 士兵 的 木马 
一 样 留 在 计算 机 中 ,并 在 计算 机 系统 中 隐藏 一 个 可 以 在 Windows 启动 时 悄悄 执行 的 程序 。 
当 用 户 连接 到 因特网 上 时 ,这 个 程序 就 会 向 黑客 报告 用 户 的 IP 地 址 以 及 预先 设 定 的 端口 。 
黑客 在 收 到 这 些 信 息 后 ,再 利用 这 个 潜伏 在 其 中 的 程序 ,就 可 以 任意 地 修改 用 户 的 计算 机 的 
参数 设 定 ,复制 文件 ,窥视 用 户 计 算 机 硬盘 中 的 内 容 等 ,从 而 达到 控制 用 户 的 计算 机 的 目的 。 


3. WWW 的 欺骗 技术 


在 网 上 用 户 可 以 利用 IE 等 浏览 器 进行 各 种 各 样 的 Web 站 点 的 访问 ,如 阅读 新 闻 组 、 咨 
询 产 品 价格 .订阅 报纸 和 电子 商务 等 。 然 而 一 般 的 用 户 慌 怕 不 会 想到 有 如 下 这 些 问 题 存 在 : 
正在 访问 的 网 页 已 经 被 黑客 自 改 过 ,网 页 上 的 信息 是 虚假 的 ! 例如 ,黑客 将 用 户 要 浏览 的 网 
页 的 URL 改写 为 指向 黑客 自己 的 服务 器 , 当 用 户 浏览 目标 网 页 的 时 候 ,实际 上 是 向 黑客 服 
务 器 发 出 请 求 ,那么 黑客 就 可 以 达到 欺骗 的 目的 了 。 


4. 电子 邮件 攻击 


电子 邮件 攻击 主要 表现 为 两 种 方式 : 一 是 电子 邮件 禾 炸 和 电子 邮件 “滚雪球 ”, 也 就 是 
通常 所 说 的 邮件 炸弹 , 指 的 是 用 伪造 的 IP 地 址 和 电子 邮件 地 址 向 同一 信箱 发 送 数 以 千 计 、 
万 计 甚 至 无 穷 多 次 内 容 相同 的 垃圾 邮件 ,致使 受害 人 邮箱 被 “ 炸 ”, 严 重 者 可 能 会 给 电子 邮件 
服务 器 操作 系统 带 来 危险 ,甚至 瘫痪 ;二 是 电子 邮件 欺骗 ,攻击 者 伴 称 自己 为 系统 管理 员 ( 邮 
件 地 址 和 系统 管理 员 完全 相同 ) ,给 用 户 发 送 邮 件 要 求 用 户 修改 口令 (口令 可 能 为 指定 字符 
串 ) 或 在 貌似 正常 的 附件 中 加 载 病毒 或 其 他 木马 程序 ( 据 笔者 所 知 , 某 些 单位 的 网 络 管理 员 
有 定期 向 用 户 免费 发 送 防 火 墙 升 级 程序 的 义务 ,这 为 黑客 成 功 地 利用 该 方法 提供 了 可 乘 之 
机 ) ,这 类 欺骗 只 要 用 户 提高 警惕 ,一 般 危 害 性 不 是 太 大 。 


5. 通过 一 个 节点 来 攻击 其 他 节点 


黑客 在 突破 一 台 主 机 后 ,往往 以 此 主机 作为 根据 地 ,攻击 其 他 主机 (以 隐蔽 其 和 人 侵 路 径 ， 
避免 留 下 蛛丝马迹 ) 。 他 们 可 以 使 用 网 络 监听 方法 尝试 攻破 同一 网 络 内 的 其 他 主机 ,也 可 以 
通过 IP 欺骗 和 主机 信任 关系 攻击 其 他 主机 。 这 类 攻击 很 狭 猎 ,但 由 于 某 些 技术 很 难 掌握 ， 
如 IP 欺骗 ,因此 较 少 被 黑客 使 用 。 


6. 网 络 监听 


网 络 监听 是 主机 的 一 种 工作 模式 ,在 这 种 模式 下 ,主机 可 以 接收 到 本 网 段 在 同一 条 物理 
通道 上 传输 的 所 有 信息 ,而 不 管 这 些 信息 的 发 送 方 和 接收 方 是 谁 。 此 时 ,如 果 两 台 主 机 进行 
通信 的 信息 没有 加 密 , 只 要 使 用 某 些 网 络 监听 工具 ,例如 NetXray for Windows 95/98/NT， 
Sniffit for Linux、Solaries 等 就 可 以 轻而易举 地 截取 包括 口令 和 账号 在 内 的 信息 资料 。 虽 然 
网 络 监听 获得 的 用 户 账 号 和 口令 具有 一 定 的 局 限 性 ,但 监听 者 往往 能 够 获得 其 所 在 网 段 的 
所 有 用 户 账 号 及 口令 。 
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7. 寻找 系统 漏洞 


许多 系统 都 有 这 样 或 那样 的 安全 漏洞 (bug) ,其 中 某 些 是 操作 系统 或 应 用 软件 本 身 具有 
的 ,这 些 漏洞 在 补丁 未 被 开发 出 来 之 前 一 般 很 难 防御 黑客 的 破坏 ,除非 将 网 线 拔 掉 ;还 有 一 
些 漏洞 是 由 于 系统 管理 员 配 置 错误 引起 的 ,如 在 网 络 文件 系统 中 ,将 目录 和 文件 以 可 写 的 方 
式 调 出 ,将 未 加 Shadow 的 用 户 密码 文件 以 明码 方式 存放 在 某 一 目录 下 ,这 都 会 给 黑客 带 来 
可 乘 之 机 ,应 及 时 加 以 修正 。 


8. 利用 账号 进行 攻击 


有 的 黑客 会 利用 操作 系统 提供 的 默认 账户 和 密码 进行 攻击 ,例如 许多 UNIX 主机 都 有 
FTP 和 Guest 等 默认 账户 (其 密码 和 账户 名 同名 ), 有 的 甚至 没有 口令 。 黑 客 用 UNIX 操作 
系统 提供 的 命令 如 finger 和 ruser 等 收集 信息 ,不 断 提 高 自己 的 攻击 能 力 。 对 这 类 攻击 ,只 
要 系统 管理 员 提高 警惕 ,将 系统 提供 的 默认 账户 关 掉 , 或 提醒 无 口令 用 户 增加 口令 ,一 般 都 
能 克服 。 


9. 偷 取 特权 


偷 取 特 权 是 利用 各 种 特洛伊 木马 程序 、 后 门 程序 和 黑客 自己 编写 的 导致 缓冲 区 溢出 的 
程序 进行 攻击 ,前 者 可 使 黑客 非法 获得 对 用 户 机 器 的 完全 控制 权 , 后 者 可 使 黑客 获得 超级 用 
户 的 权限 ,从 而 拥有 对 整个 网 络 的 绝对 控制 权 。 这 种 攻击 手段 一 旦 奏效 ,危害 性 极 大 。 


7.7.2 黑客 常用 的 信息 收集 工具 


信息 收集 是 突破 网 络 系统 的 第 一 步 。 黑 客 使 用 下 面 几 种 工具 来 收集 所 需 信息 : 
1. SNMP 协议 


使 用 SNMP 协议 查阅 非 安 全 路 由 器 的 路 由 表 , 从 而 了 解 目标 机 构 网 络 拓扑 的 内 部 
细节 。 


2. Trace Route 程序 


Trace Route 程序 能 够 得 出 到 达 目 标 主机 所 经 过 的 网 络 数 和 路 由 器 数 ,是 能 深入 探索 
TCP/IP 协议 的 方便 可 用 的 工具 。 它 能 让 我 们 看 到 数据 报 从 一 台 主 机 传 到 另 一 台 主 机 所 经 
过 的 路 由 。 它 还 可 以 让 我 们 使 用 IP 源 路 由 选项 ,让 源 主机 指定 发 送 路 由 。 


3. Whois 协议 


Whois 协议 是 一 种 信息 服务 ,能 够 提供 有 关 所 有 DNS 域 和 负责 各 个 域 的 系统 管理 员 的 
数据 。 使 用 Whois 协议 先 与 服务 器 的 TCP 端口 43 建立 一 个 连接 ,发 送 查询 关键 字 并 加 上 
回 车 换行 ,然后 接收 服务 器 的 查询 结果 。 


4. DNS 服务 器 
DNS 域名 系统 为 Internet 上 的 主机 分 配 域名 地 址 和 IP 地 址 。 用 户 使 用 域名 地 址 ,该 系 
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统 就 会 自动 把 域名 地 址 转 为 IP 地 址 。 域 名 服务 是 运行 域名 系统 的 Internet 工具 。 执 行 域 
名 服务 的 服务 器 称 为 DNS 服务 器 ,通过 DNS 服务 器 来 应 答 域名 服务 的 查询 。 


5。 Finger 协议 


Finger 协议 能 够 提供 特定 主机 上 用 户 的 详细 信息 (注册 名 .电话 号 码 和 最 后 一 次 注册 的 
时 间 等 ) 。 


6. Ping 实用 程序 


Ping 实用 程序 本 来 是 用 来 检查 网 络 是 否 通畅 或 者 网 络 连 接 速度 的 命令 ,但 同时 可 以 用 
来 确定 一 个 指定 的 主机 的 位 置 并 确定 其 是 否 可 达 。 把 这 个 简单 的 工具 用 在 扫描 程序 中 ,可 
以 Ping 网 络 上 每 个 可 能 的 主机 地 址 ,从 而 可 以 构造 出 实际 驻 留 在 网 络 上 的 主机 清单 。 它 所 
利用 的 原理 是 这 样 的 : 网 络 上 的 机 器 都 有 唯一 确定 的 IP 地 址 ,给 目标 IP 地 址 发 送 一 个 数据 
包 , 对 方 就 要 返回 一 个 同样 大 小 的 数据 包 , 根 据 返 回 的 数据 包 可 以 确定 目标 主机 的 存在 ,可 
以 初步 判断 目标 主机 的 操作 系统 等 。 当 然 , 它 也 可 用 来 测定 连接 速度 和 丢 包 率 。 


7.7.3 黑客 防范 措施 


为 防止 黑客 攻击 ,通常 可 以 使 用 以 下 防范 措施 : 

(1) 为 经 常 做 Telnet、FTP 等 传送 重要 机 密 信息 应 用 的 主机 单独 设立 一 个 网 段 ,以 避免 
某 一 台 个 人 机 被 攻破 ,被 攻击 者 装 上 嗅 探 器 (sniffer) ,造成 整个 网 段 通信 全 部 暴露 。 有 条 件 
的 情况 下 ,重要 主机 装 在 交换 机 上 ,这 样 可 以 避免 sniffer 偷 听 密 码 。 

(2) 专用 主机 只 开 专 用 功能 ,如 运行 网 管 , 数 据 库 重要 进程 的 主机 上 不 应 该 运行 如 
sendmail 这 种 bug 比较 多 的 程序 。 网 管 网 段 路 由 器 中 的 访问 控制 应 该 限制 在 最 小 限度 , 研 
究 清楚 各 进程 必需 的 进程 端口 号 ,关闭 不 必要 的 端口 。 

(3) 对 用 户 开 放 的 各 个 主机 的 日 志文 件 全 部 定向 到 一 个 syslogd server 上 集中 管理 。 
该 服务 器 可 以 由 一 台 拥 有 大 容量 存储 设备 的 UNIX 或 Windows NT 主机 承担 。 定 期 检查 
备份 日 志 主 机 上 的 数据 。 

(4) 网 管 不 得 访问 Internet。 并 建议 设立 专门 机 器 使 用 FTP 或 WWW 下 载 工 具 和 
资料 。 

(5) 提供 电子 邮件 .WWW 和 DNS 的 主机 不 安装 任何 开发 工具 ,避免 攻击 者 编译 攻击 
程序 。 

(6) 网 络 配置 原则 是 “用 户 权限 最 小 化 ”, 例 如 ,关闭 不 必要 或 者 不 了 解 的 网 络 服务 ,不 
用 电子 邮件 寄 送 密码 。 

(7) 下 载 安装 最 新 的 操作 系统 及 其 他 应 用 软件 的 安全 和 升级 补丁 ,安装 几 种 必要 的 安 
全 加 强 工 具 , 限 制 对 主机 的 访问 ,加强 日 志 记录 ,对 系统 进行 完整 性 检查 ,定期 检查 用 户 的 脆 
弱 口 令 ,并 通知 用 户 尽快 修改 。 重 要 用 户 的 口令 应 该 定期 修改 (不 长 于 3 个 月 ) ,不同 主机 使 
用 不 同 的 口令 。 

(8) 定期 检查 系统 日 志文 件 ,在 备份 设备 上 及 时 备份 。 制 定 完整 的 系统 备份 计划 ,并 严 
格 实施 。 
(9) 定期 检查 关键 配置 文件 (最 长 不 超过 1 个 月 )。 
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(10) 制定 详尽 的 入侵 应 急 措 施 以 及 汇报 制度 。 发 现 人 侵 迹象 , 立 即 打开 进程 记录 功 
能 ,同时 保存 内 存 中 的 进程 列表 以 及 网 络 连接 状态 ,保护 当前 的 重要 日 志文 件 。 有 条 件 的 
话 ,立即 打开 网 段 上 另外 一 台 主机 监听 网 络 流量 ,尽力 定位 人 侵 者 的 位 置 。 如 有 必要 , 断 开 
网 络 连接 。 在 服务 主机 不 能 继续 服务 的 情况 下 ,应 该 有 能 力 从 备份 磁带 中 恢复 服务 到 备份 
主机 上 。 


7.8 互联 网 安全 协议 和 机 制 


互联 网 引入 了 大 量 与 以 往 不 同 的 安全 性 弱点 。 你 正在 与 之 通信 的 组 织 或 个 人 可 能 是 不 
认识 的 或 者 可 能 是 伪装 成 其 他 组 织 ( 个 人 ) 的 组 织 或 个 人 。 不 必 过 分 猜疑 这 类 问题 ,但 有 必 
要 采取 适当 的 预防 措施 来 防止 通过 各 种 方式 造成 的 损失 ,这 些 方式 包括 资金 转移 错误 认证 
的 结果 机密 信息 丢失 和 毁约 等 。 互 联网 安全 协议 和 机 制 就 是 主要 处 理 这 类 风险 的 ,这 些 协 
议和 相关 机 制 与 互联 网 活动 (包括 电子 邮件 ) 有 特定 的 相关 性 。 

与 互联 网 相关 的 协议 和 机 制 如 下 。 


1. 请 求 注释 (Request For Comment,RFC) 


请 求 注释 是 由 互联 网 网 络 工程 任务 组 (IETF) 管 理 的 正式 互联 网 文档 , 它 用 作 传 播 有 关 
互联 网 工程 咨询 和 意见 信息 的 一 种 方式 。RFC 描述 了 开放 标准 ,使 那些 可 能 希望 或 需要 使 
用 那些 标准 进行 通信 的 人 受益 。 它 们 是 由 参与 不 同 工 作 组 的 志愿 者 编写 的 ,发 布 在 不 同位 
置 上 ,主要 是 在 IETF 站 点 上 。 有 关 TLS 的 详细 信息 (请 参阅 下 面 的 描述 ) 就 是 以 这 种 格式 
表示 的 。 


2. IPSec 


IETF 的 IP 安全 性 协议 工作 组 目前 正在 定义 IP 的 安全 性 附加 协议 , 它 是 为 IP 数据 报 
这 一 层 提供 认证 、 完 整 性 和 保密 性 服务 的 规范 。 在 几 个 RFC 中 对 它 都 有 描述 ,虽然 是 专门 
用 于 IPv6 的 ,但 它 也 可 以 用 于 IPv4 (IPv4 是 当前 标准 ,使 用 点 分 4 组 形式 的 地 址 , 如 
192. 168. 1. 3) 。 它 旨 在 用 作对 互联 网 通信 (例如 ,为 VPN 和 封装 隧道 等 ) 提 供 安全 性 的 基础 。 
一 些 供应 商 和 软件 组 织 正 在 开发 或 提供 集成 了 IPSec 的 产品 。 例 如 ,芬兰 的 SSH 
Communications Security 有 一 种 称 为 IPSec Express 的 产品 , 它 是 为 方便 符合 IPSec 的 电子 
商业 应 用 程序 开发 而 设计 的 ,而 从 1999 年 6 月 开始 ,NetBSD Foundation 已 经 将 IPSec 代码 
合并 到 了 NetBSD 分 发 版 中 。 

虽然 IPSec 已 经 成 为 互联 网 安全 性 实现 的 一 个 事实 上 的 标准 。 


3. 安全 HTTP(Secure HTTP,S-HTTP) 


安全 HTTP 是 在 应 用 层 运行 的 HTTP 安全 性 扩展 。 它 在 支持 不 可 抵赖 性 以 及 允许 使 
用 多 种 密码 算法 和 密 钥 管理 机 制 的 同时 .提供 保密 性 和 认证 。 虽然 可 以 在 会 话 之 前 获得 经 
Kerberos 服务 器 同意 的 初始 密 钥 ,或 者 可 以 在 一 个 会 话 中 生成 下 一 个 会 话 要 使 用 的 密 钥 ,但 
通常 将 RSA 用 于 初始 密 钥 协商 。 
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4. 安全 套 接 字 层 (Secure Sockets Layer,SSL) 


安全 套 接 字 层 (SSL) 是 由 Netscape Communications 开发 的 用 来 向 互联 网 会 话 提 供 安 
全 性 和 保密 性 的 握手 协议 。 它 支持 服务 器 和 客户 机 认证 ,并 且 被 设计 成 协商 加 密 密 钥 以 及 
在 交换 任何 数据 之 前 认证 服务 器 。 它 使 用 加 密 、 认 证 和 MAC 来 维护 传输 信道 的 完整 性 。 

虽然 SSL 最 适合 用 于 HTTP, 但 它 也 可 以 用 于 FTP 或 其 他 相关 协议 。 它 在 传输 层 运 
行 并 且 是 独立 于 应 用 程序 的 ,因此 像 FTP 或 HTTP 之 类 的 相关 协议 可 以 放 在 该 层 之 上 。 
使 用 初始 握手 来 对 服务 器 进行 认证 。 在 这 一 过 程 中 ,服务 器 把 证 书 提交 到 客户 机 并 指定 要 
使 用 的 首选 密码 。 然 后 ,客户 机 生成 在 即将 进行 的 会 话 期 间 使 用 的 密 钥 ,然后 将 它 提交 给 服 
务 器 ,并 相应 地 用 服务 器 的 公 钥 对 它 加 密 。 服 务 器 使 用 其 私 钥 解 密 消 息 恢复 密 钥 , 然 后 通过 
向 客户 机 发 送 一 条 使 用 该 密 钥 加 密 的 消息 来 向 客户 机 认证 自己 。 使 用 这 一 达成 协议 的 密 钥 
对 加 密 的 数据 进行 进一步 的 交换 。 

可 以 用 第 二 阶段 (可 选 ) 来 进一步 增加 安全 性 。 这 里 ,服务 器 发 送 一 个 质询 ,客户 机 对 此 
作出 响应 ,向 服务 器 返回 该 质询 的 数字 签名 和 客户 机 的 公 钥 证 书 。 

质询 阶段 通常 是 使 用 带 有 用 于 消息 摘要 的 MD5 的 RSA 执行 的 。 也 可 以 使 用 各 种 对 
称 密码 ,包括 DES、3DES、IDEA、RC2 和 RC4。 公 钥 证 书 符合 X. 509 标准 。SSL 目前 的 版 
本 为 3.0。 


5. 传输 层 安全 性 (Transport Layer Security,TLS) 


传输 层 安 全 性 (TLS) 协 议 是 IETF 标准 草案 , 它 基 于 SSL 并 与 之 相似 。 它 的 主要 目标 
是 在 两 个 正在 通信 的 应 用 程序 之 间 提 供 保密 性 和 数据 完整 性 。 它 由 两 层 构 成 。 较 低 的 层 称 
为 TLS Record 协议 , 且 位 于 某 个 可 靠 的 传输 协议 (例如 TCP) 上 面 。 这 一 层 有 两 个 基本 特 
性 ,具体 说 ,该 连接 是 专用 的 ,并 且 是 可 靠 的 。 它 用 于 封装 各 种 更 高 级 协议 ,但 也 可 以 不 加 密 
地 使 用 。 通 常 使 用 加 密 时 ,生成 的 用 于 这 个 加 密 的 密 钥 专用 于 每 个 连接 ,这 些 密 钥 基于 由 另 
一 个 协议 (例如 更 高 级 别 的 TLS Handshake 协议 ) 协 商 的 密 钥 。 

TLS Handshake 协议 提供 了 具有 3 个 基本 特性 的 连接 安全 性 , 即 可 以 使 用 非 对 称 密码 
术 来 认证 对 等 方 的 身份 ,共享 密 钥 的 协商 是 安全 的 ,以 及 协商 是 可 靠 的 。 

与 SSL 一 样 ,TLS 是 独立 于 应 用 程序 协议 的 ,其 使 用 的 加 密 算 法 的 种 类 与 SSL 使 用 的 
相似 。 然 而 ,TLS 标准 把 如 何 启动 TLS 握手 和 如 何 解释 认证 证 书 的 决定 权 留 给 运行 于 其 上 
层 的 协议 的 设计 者 和 实现 者 来 判断 。 

TLS 协议 的 目标 , 按 其 优先 级 顺序 来 说 ,是 密码 安全 性 、 互 操作 性 和 可 扩展 性 。 最 后 一 
个 目标 意味 着 TLS 提供 了 一 种 框架 , 当 新 的 和 改进 的 非 对 称 以 及 其 他 加 密 方法 可 用 时 , 便 
可 以 将 它们 引入 该 框架 。 


6. 无 线 传输 层 安全 性 (Wireless Transport Layer Security, WTLS) 


无 线 应 用 程序 协议 (Wireless Application Protocol, WAP) 体 系 结构 中 的 安全 性 层 协 议 
称 为 无 线 传输 层 安全 性 。 它 在 传输 协议 层 之 上 操作 , 它 是 模块 化 的 ,是 否 使 用 它 取 决 于 给 定 
应 用 程序 所 需求 的 安全 性 级 别 。WTLS 为 WAP 的 上 一 层 提 供 了 保护 其 下 的 传输 服务 接口 
的 安全 传输 服务 接口 。 另 外 , 它 为 管理 安全 连接 提供 了 一 个 接口 。 

WTLS 与 TLS 非常 相似 ,但 它 最 适合 用 于 等 待 时 间 相 对 长 的 窄带 传输 网 络 。 同 时 , 它 


205 


AN 


物 联 网 安全 导论 


添加 了 一 些 新 特性 ,例如 ,数据 报 支持 ` 经 过 最 优化 的 握手 和 密 钥 刷 新 。 与 使 用 TLS 一 样 ， 
它 的 主要 目标 是 在 两 个 正在 通信 的 应 用 程序 之 间 提 供 保密 性 数据 完整 性 和 认证 。 


7. 安全 电子 交易 (Secure Electronic Transaction ,SET) 


安全 电子 交易 协议 是 由 VISA 和 MasterCard 国际 财团 开发 的 作为 在 开放 网 络 上 进行 
安全 银行 卡 交 易 的 方法 。 它 支持 DES 和 3DES 以 实现 成 批 数据 加 密 , 并 支持 用 RSA 对 密 钥 
和 银行 卡号 的 公 钥 进行 加 密 。 

虽然 SET 被 认为 是 非常 安全 的 ,但 太 安 全 使 它 的 速度 相对 很 慢 。 另 外 ,用 户 需要 正确 
发 出 的 数字 证 书 , 因 此 不 能 像 SSL 或 TLS 那样 以 一 种 简单 的 特别 方式 来 使 用 它 。 由 于 这 些 
原因 ,以 及 许多 银行 将 风险 和 银行 卡 安全 性 漏洞 的 后 果 转 嫁 给 其 商业 客户 ,所 以 SET 的 采 
用 远 没有 开始 设想 的 那么 多 ,这 是 个 问题 。 然 而 ,有 迹象 表明 这 正在 改变 。 


8. 安全 广域网 (Secure Wide Area Network,S/WAN) 


安全 广域网 倡议 是 由 RSA Data Security 推动 的 , 它 旨 在 促进 基于 互联 网 的 虚拟 专用 网 
(Internet-based Virtual Private Networks (VPN)) 的 广泛 部 署 。S/WAN 支持 IP 级 的 加 
密 , 因 此 它 比 相似 的 SSL 或 TLS 提供 了 更 基本 的 、 更 低级 别 的 安全 性 。VPN 是 一 种 机 制 ， 
设计 成 当 用 户 使 用 互联 网 时 ,允许 他 们 维护 他 们 之 间 的 安全 隧道 。 例 如 ,可 以 廉价 地 连接 远 
程 办 公 室 ,而 不 会 增加 成 本 ,或 者 避免 使 用 专门 租用 线路 造成 点 对 点 的 不 便 。 对 通过 通道 传 
递 的 消息 进行 了 加 密 , 因 此 它们 应 该 是 安全 的 ,可 以 避免 第 三 方 的 有 效 截 获 。 实 际 上 ,并且 
部 分 由 于 不 同 标准 的 开发 被 设计 成 为 一 个 或 另 一 个 公司 带 来 有 竞争 力 的 利益 ,造成 理论 和 实 
践 严 重 脱节 ,尤其 在 互 操作 性 方面 。S/WAN 倡议 是 给 产生 的 混乱 带 来 一 些 秩序 的 一 种 尝试 。 

虽然 原始 的 S/WAN 倡议 不 再 进行 了 ,但 是 在 Linux FreeS/WAN 和 虚拟 专用 网 协会 
(Virtual Private Network Consortium) 倡 议 中 有 非常 相似 的 倡议 。FreeS/ WAN 是 IPSec 在 Red 
Hat Linux 中 的 实现 ,并 有 效 地 按照 GNU GPL 下 提供 了 可 以 自制 的 Linux 的 VPN 实现 。 


9. 安全 Shell(SSH) 


安全 Shell 是 目前 正在 由 IETF 的 SECSH 工作 组 标准 化 的 协议 。 它 允许 网 络 上 的 安 
全 远程 访问 。 可 以 使 用 多 种 方法 来 认证 客户 机 和 服务 器 并 在 支持 SSH 的 系统 之 间 建 立 加 
密 的 通信 通道 。 然 后 ,这 个 连接 可 以 用 于 许多 方面 ,例如 ,建立 VPN 或 者 在 服务 器 上 创建 安 
全 远程 登录 以 替换 类 似 的 telnet、rlogin 或 rsh。 


10. 加 密 的 电子 邮件 


为 何 提 到 加 密 的 电子 邮件 呢 ? 在 许多 情况 下 , 它 并 没有 什么 不 同 , 但 是 用 户 应 该 理解 ， 
发 送 明 文 电子 邮件 等 于 发 送 一 张 任 何人 都 可 读 的 明信片 。 电 子 邮件 在 一 条 不 确定 的 分 段 路 
由 上 传输 ,并 且 在 沿途 的 许多 点 可 以 毫 不 费力 地 查看 它 。 部 分 时 间 内 , 它 保 存在 网 络 邮件 服 
务 器 的 半 公 开 区 域 或 ISP 的 存储 器 中 。 

电子 邮件 还 可 能 被 错误 路 由 或 错误 地 成 批发 送 。Network News 期 刊 中 收录 了 一 名 网 
络 经 理 的 文章 ,他 误 将 一 张 在 他 的 头像 旁 写 有 “I am very munchable”( 我 很 能 吃 ) 的 图 像 发 
送 到 了 办 公 楼 里 的 每 台 打 印 机 ,这 个 图 像 原 本 是 作为 他 妻子 的 私人 工 恤衫 上 的 消息 。 那 当 
然 不 是 电子 邮件 ,但 是 电子 邮件 也 很 容易 发 生 这 样 的 问题 ,而 且 同 样 会 造成 篮 众 。 
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许多 产品 提供 安全 电子 邮件 ,该 电子 邮件 要 么 作为 使 用 PGP(Pretty Good Privacy, 完 
美 隐私 ) 的 补充 产品 提供 ,要 么 使 用 如 安全 MIME(SVMIME) 之 类 的 协议 将 数字 签名 和 加 密 
工具 添加 到 使 用 适当 的 客户 机 (例如 Netscape) 创 建 的 邮件 消息 中 。MIME (Multipurpose 
Internet Mail Extensions, 多 用 途 互联 网 邮件 扩展 ) 是 一 种 互联 网 邮件 标准 化 的 格式 , 它 允 许 
以 标准 化 的 格式 在 电子 邮件 消息 中 包含 增强 文本 、 音 频 、 图 形 、 视 频 和 类 似 的 信息 。 然 而 ， 
MIME 不 提供 任何 安全 性 元 素 。S/MIME 添加 了 这 些 元 素 。S/MIME 已 经 得 到 了 许多 联 
网 和 消息 传递 ISV 的 认可 ,包括 Netscape、Qualcomm、Microsoft、Lotus、Novell 以 及 其 他 
ISV。 可 以 从 IETF 获取 信息 。 

然而 ,将 加 密 的 电子 邮件 引入 大 型 组 织 会 引起 一 些 新 闻 题 。 反 病毒 产品 可 能 未 必 一 定 
识别 加 密 的 危险 附件 。 另 外 ,扫描 程序 和 防火 墙 ( 其 工作 可 能 是 确保 阻止 机 密 或 非法 信息 出 
入 组 织 或 部 门 ) 也 可 能 有 相似 问题 。 

一 种 解决 方案 可 能 是 在 外 部 网 关上 加 密 和 解密 ,但 这 会 使 电子 邮件 在 通过 公司 网 络 传 
输 时 保持 未 加 密 状 态 , 这 可 能 不 太 合适 。 在 任何 情况 下 ,无论 正在 使 用 何 种 电子 邮件 客户 
机 ,许多 电子 邮件 加 密 包 作为 这 些 客户 机 的 附属 工具 在 桌面 级 别 工作 。 但 是 ,通过 分 散 特定 
内 容 安全 性 策略 ,在 桌面 扫描 会 使 问题 更 复杂 和 难以 强制 执行 。 

另 一 种 解决 方案 通常 是 笨拙 和 耗费 资源 的 ,但 在 某 些 环境 中 却 是 适当 的 , 即 仅 在 将 电子 
邮件 的 副本 发 送 到 集中 式 邮箱 以 进行 解密 和 检查 的 同时 , 才 允 许 使 用 加 密 的 电子 邮件 。 该 
方案 的 困难 包括 流量 加 倍 、 消 息 传递 延迟 .需要 实时 告知 用 户 实际 情况 以 及 可 能 给 用 户 带 来 
的 不 便 。Giga Group 在 最 近 的 一 次 讨论 中 提出 了 该 问题 ,建议 最 佳 解决 方案 是 : 加 密 电子 
邮件 ,然后 发 送 到 中 继 器 ,在 那里 对 其 解密 ,并 进行 检查 以 确定 是 否 符合 安全 性 策略 以 及 有 
无 病毒 ,为 既定 收 件 人 进行 加 密 , 然 后 适时 地 重新 发 送 。 和 以 往 一 样 ,最 好 的 方法 要 在 风险 
与 方案 的 成 本 和 不 便 的 权衡 。 


习题 七 


. 互联 网 面临 哪 5 个 方面 的 网 络 安全 威胁 ? 

. 网 络 安全 攻击 的 形式 有 哪 几 种 ? 

. 防火 墙 采用 的 安全 策略 有 哪 两 个 基本 准则 ? 

. 分 别 简 述 包 过 滤 防 火 墙 代理 服务 器 防火 墙 和 状态 监视 器 防火 墙 的 技术 原理 。 
. 防火 墙 与 网 络 的 配置 有 哪 3 种 典型 结构 ? 

. 简 述 入 侵 检 测 系统 的 工作 步骤 。 

. 什么 是 身份 验证 ? 身份 验证 的 方法 有 哪 几 类 ? 

. 什么 是 IPSec 安全 协议 ? IPSec 协议 的 特点 是 什么 ? 
. 简介 IKE 协议 。 

10. VPN 主要 采用 哪 4 项 技术 来 保证 安全 ? 

11. 举例 说 明 VPN 包 封装 协议 。 

12. 请 进行 MPLS VPN 和 IPSec VPN 技术 的 比较 。 
13. 网 络 黑客 攻击 方法 主要 有 哪 几 种 ? 

14. 为 防止 黑客 攻击 ,通常 可 以 使 用 哪 几 种 防范 措施 ? 


避 oo 站 上 加 思 上 吓 
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第 8 童 中 间 件 与 云 计算 安全 


信息 处 理 安全 主要 体现 在 物 联 网 应 用 /中 间 件 层 。 其 中 , 中间 件 层 主要 实现 网 络 层 与 
物 联网 应 用 服务 间 的 接口 和 能 力 调用 , 包括 对 企业 的 分 析 整 合共 享 、. 智 能 处 理 和 管理 等 ， 
具体 体现 为 一 系列 的 义务 支持 平台 、 管 理 平台 、 信 息 处 理 平台 、 智 能 计算 平台 和 中 间 件 平台 
等 。 应 用 层 则 主要 包含 各 类 应 用 , 例如 监控 服务 .智能 电网 .工业 监控 ,绿色 农业 .智能 家 
居 \ 环 境 监控 和 公共 安全 等 。 

本 层 的 安全 问题 主要 来 自 各 类 新 兴业 务 及 应 用 的 相关 业务 平台 。 恶 意 代 码 以 及 各 类 软 
件 系统 自身 的 漏洞 和 可 能 的 设计 缺陷 是 物 联网 应 用 系统 的 重要 威胁 之 一 。 同 时 由 于 涉及 多 
领域 多 行业 , 物 联 网 广 域 范围 的 海量 数据 信息 处 理 和 业务 控制 策略 目前 在 安全 性 和 可 靠 性 
方面 仍 存在 较 多 技术 瓶颈 且 难 于 突破 , 特别 是 业务 控制 和 管理 .业务 逻辑 .中 间 件 .业务 系 
统 关键 接口 等 环境 安全 问题 尤为 突出 。 本 章 主要 从 中 间 件 技术 和 云 计算 技术 两 方面 谈 本 层 
的 安全 问题 。 


8.1 中 间 件 技术 安全 


中 间 件 (middleware) 是 基础 软件 的 一 大 类 ,属于 可 复 用 软件 的 范畴 。 顾 名 思 义 ,中 间 件 
是 处 于 操作 系统 软件 与 用 户 的 应 用 软件 的 中 间 。 中 间 件 在 操作 系统 、 网 络 和 数据 库 的 上 层 ， 
应 用 软件 的 下 层 , 总 的 作用 是 为 处 于 自己 上 层 的 应 用 软件 提供 运行 与 开发 的 环境 ,帮助 用 户 
灵活 、 高 效 地 开发 和 集成 复杂 的 应 用 软件 。 

目前 ,中 间 件 发 展 很 快 ,已 经 与 操作 系统 和 数据 库 并 列 为 3 大 基础 软件 。 


8.1.1 中 间 件 概述 


中 间 件 是 一 类 连接 软件 组 件 和 应 用 的 计算 机 软件 , 它 包 括 一 组 服务 ,以 便于 运行 在 一 台 
或 多 台 机 器 上 的 多 个 软件 通过 网 络 进行 交互 。 该 技术 所 提供 的 互 操作 性 推动 了 一 致 分 布 式 
体系 架构 的 演进 。 该 架构 通常 用 于 支持 分 布 式 应 用 程序 并 简化 其 复杂 度 , 它 包括 Web 服务 
器 .事务 监控 器 和 消息 队列 软件 ,如 图 8. 1 所 示 。 


简单 地 讲 ,中 间 件 是 一 种 独立 的 系统 软件 或 服务 程序 ,分 | 应 用 | … | 启用 
布 式 应 用 软件 借助 这 种 软件 在 不 同 的 技术 之 间 共享 资源 ,中间 i 
件 位 于 客户 机 服务 器 的 操作 系统 之 上 ,管理 计算 资源 和 网 络 (分 布 系 统 服务 ) 
通信 。 

中 间 件 的 产生 与 迅速 发 展 的 原因 从 表 8. 1 可 以 清楚 地 看 | 所 史 信和 … | 扫 计 入 


出 。 由 于 网 络 环境 的 日 益 复 杂 , 为 了 支持 不 同 的 交互 模式 , 产 | 
生 了 适应 不 同 应 用 系统 的 中 间 件 。 图 81 中 间 件 
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表 8.1 操作 系统 、 数 据 库 管 理 系统 与 中 间 件 的 比较 


基础 软件 类 型 操作 系统 数据 库 管理 系统 中 间作 
产生 动因 硬件 过 于 复杂 数据 操作 过 于 复杂 网 络 环境 过 于 复杂 
主要 作用 管理 各 种 资源 组 织 各 类 数据 支持 不 同 的 交互 模式 
主要 理论 基础 | 各 种 调度 算法 各 种 数据 模型 各 种 协议 接口 定义 方式 
品 形态 不 同 的 操作 系统 功能 | 不 同 的 数据 库 管理 系统 功能 | 存在 大 量 不 同 种 类 的 中 间 件 产 
类 似 类 似 ,但 类 型 比 操作 系统 多 | 品 ,它们 的 功能 差别 较 大 


中 间 件 的 核心 作用 是 通过 管理 计算 资源 和 网 络 通信 ,为 各 类 分 布 式 应 用 软件 共享 资源 
提供 支撑 。 广 义 地 看 ,中 间 件 的 总 体 作 用 是 为 处 于 自己 上 层 的 应 用 软件 提供 运行 与 开发 的 
环境 ,帮助 用 户 灵活 ,高效 地 开发 和 集成 复杂 的 应 用 软件 。 


8.1.2 


中 间 件 的 体系 框架 与 核心 模块 


在 物 联网 中 采用 中 间 件 技术 ,以 实现 多 个 系统 和 多 种 技术 之 间 的 资源 共享 ,最 终 组 成 一 
个 资源 丰富 功能 强大 的 服务 系统 。 中 间 件 的 体系 框架 与 核心 模块 示意 见 图 8. 2。 


网 应 用 层 


物 联网 网 络 层 


物 联网 接 入 网 关 物 联 网 接 入 网 关 物 联网 接 入 网 关 


8.1.3 中 间 件 的 分 类 


图 82 


中 间 件 的 体系 框架 与 核心 模块 


1. 软件 开发 环境 下 中 间 件 分 类 


在 通常 的 软件 开发 环境 下 ,中 间 件 主要 分 为 以 下 3 类 : 
1) 通信 处 理 ( 消 息 ) 中 间 件 
此 类 中 间 件 能 在 不 同 平台 之 间 通 信 , 实 现 分 布 式 系 统 中 可 靠 的 ,高 效 的 .实时 的 跨 平 台 
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数据 传输 (如 Tong LINK、BEA e Link、IBM 的 MQ Series 等 )。 这 是 中 间 件 中 唯一 不 可 缺 
少 的 种 类 ,是 销售 额 最 大 的 中 间 件 产品 。 

2) 交易 中 间 件 

在 分 布 式 事务 处 理 系统 中 要 处 理 大 量 事务 ,常常 在 系统 中 要 同时 做 上 万 笔 事务 。 例 如 ， 
在 北京 市 就 要 设置 各 种 运载 汽车 ,完成 日 常 的 运载 ,同时 要 随时 监视 汽车 运行 ,出 现 故障 时 
要 有 排除 措施 ,发生 堵塞 时 要 进行 调度 。 

在 联机 事务 处 理 系统 COLTP) 中 ,每 笔 事务 常常 要 多 台 服 务 器 上 的 程序 顺序 地 协调 完 
成 ,一 旦 中 间 发 生 某 种 故障 时 ,不 但 要 完成 恢复 工作 ,而 且 要 自动 切换 系统 ,使 系统 永 不 停 
机 ,实现 高 可 靠 性 运行 ;同时 要 使 大 量 事务 在 多 台 应 用 服务 器 能 实时 并 发 运行 ,并 进行 负载 
平衡 的 调度 ,实现 昂贵 的 可 靠 性 机 和 大 型 计算 机 系统 同等 的 功能 ,为 了 实现 这 个 目标 ,要 求 
系统 具有 监视 和 调度 整个 系统 的 功能 。 

BEA 的 Tuxedo 由 此 而 著名 ,使 它 成 为 增长 率 最 高 的 厂商 。 一 个 事务 处 理 平台 ,根据 
X/OPEN 的 参数 模型 规定 ,应 由 事务 处 理 中 间 件 .通信 处 理 中 间 件 和 数据 存 取 管 理 中 间 件 
3 部 分 组 成 。 

3) 数据 存 取 管 理 中 间 件 

在 分 布 式 系统 中 ,重要 的 数据 都 集中 存放 在 数据 服务 器 中 ,它们 可 以 是 关系 型 .复合 文 
档 型 .具有 各 种 存放 格式 的 多 媒体 型 ,或 者 是 经 过 加 密 或 压缩 存放 的 。 数 据 存 取 管 理 中 间 件 
为 在 网 络 上 虚拟 缓冲 存 取 、 格 式 转换 和 解压 等 带 来 方便 。 


2. 网 络 中 间 件 分 类 


在 网 络 环境 下 ,进一步 按 网 络 功能 子 系统 细 分 ,网 络 中 间 件 大 致 可 分 为 8 类: 

1) 企业 服务 总 线 (Enterprise Service Bus,ESB) 

ESB 是 一 种 开放 的 、 基 于 标准 的 分 布 式 同步 或 异步 信息 传递 中 间 件 。 通 过 XML 和 
Web 服务 接口 以 及 标准 化 基于 规则 的 路 由 选择 文档 等 的 支持 ,ESB 为 企业 应 用 程序 提供 安 
全 互 用 性 。 

2) 事务 处 理 (Transaction Processing,TP) 监 控 器 

为 发 生 在 对 象 间 的 事务 处 理 提 供 监 控 功 能 ,以 确保 操作 成 功 实现 。 

3) 分 布 式 计算 环境 (Distributed Computing Environment, DCE) 

分 布 式 计算 环境 指 创建 运行 在 不 同 平台 上 的 分 布 式 应 用 程序 所 需 的 一 组 技术 服务 。 

4) 远程 过 程 调用 (Remote Procedure Call. RPC) 

远程 过 程 调用 指 客户 机 向 服务 器 发 送 关 于 运行 某 程 序 的 请 求 时 所 需 的 标准 。 

5) 对 象 请 求 代理 (Object Request Broker, ORB) 

对 象 请 求 代 理 为 用 户 提供 与 其 他 分 布 式 网 络 环境 中 对 象 通信 的 接口 。 

6) 数据 库 访问 中 间 件 (Database Access Middleware) 

数据 库 访问 中 间 件 支持 用 户 访问 各 种 操作 系统 或 应 用 程序 中 的 数据 库 。SQL 是 该 类 
中 间 件 的 一 种 。 

7) 信息 传递 (Message Passing) 

电子 邮件 系统 是 该 类 中 间 件 的 一 种 。 

8) 基于 XML 的 中 间 件 (XML-Based Middleware) 

XML 人 允许 开发 人 员 为 实现 在 Internet 中 交换 结构 化 信息 而 创建 文档 。 
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8.1.4 物 联网 中 间 件 的 设计 


在 物 联网 中 ,中 间 件 一 般 处 于 物 联 网 的 集成 服务 器 端 和 感知 层 、 传 输 层 的 嵌入 式 设备 
中 。 其 中 服务 器 端 中 间 件 被 称 为 物 联 网 业务 基础 中 间 件 ,一般 都 是 基于 传统 的 中 间 件 (应 用 
服务 器 .ESB/MGQ 等 ) 构 建 ,加 入 设备 连接 和 图 形 化 组 态 展示 等 模块 ;嵌入 式 中 间 件 是 一 些 
支持 不 同 通信 协议 的 模块 和 运行 环境 。 

中 间 件 的 特点 是 固化 了 很 多 通用 功能 ,不 过 在 具体 应 用 中 大 多 需要 二 次 开发 来 实现 个 
性 化 的 行业 业务 需求 ,因此 所 有 物 联网 中 间 件 都 要 提供 快速 开发 (RAD) 工 具 。 

目前 , 物 联网 中 间 件 最 主要 的 代表 是 RFID 中 间 件 ,其 他 的 还 有 嵌入 式 中 间 件 、 数 字 电 
视 中 间 件 .通用 中 间 件 和 M2M 物 联网 中 间 件 等 。 下 面 重点 介绍 RFID 中 间 件 。 

RFID 中 间 件 扮演 RFID 标签 和 应 用 程序 之 间 的 中 介 角 色 ,在 应 用 程序 端 使 用 中 间 件 可 
以 提供 一 组 通用 的 应 用 程序 接口 (APD , 即 能 连 到 RFID 读 写 器 , 读 取 RFID 标签 数据 。 这 
样 一 来 ,即使 存储 RFID 标签 数据 的 数据 库 软 件 或 后 端 应 用 程序 增加 或 改 由 其 他 软件 取代 ， 
或 者 读 写 RFID 读 写 器 种 类 增加 等 情况 发 生 时 ,应 用 端 不 需 修改 也 能 处 理 , 省 去 多 对 多 连接 
的 维护 复杂 性 问题 。 

要 实现 每 个 小 的 应 用 环境 或 系统 的 标准 化 以 及 它们 之 间 的 通信 ,必须 设置 一 个 通用 的 

台 和 接口 ,也 就 是 中 间 件 。 以 RFID 为 例 ,图 8. 3 描述 了 中 间 件 在 系统 中 的 位 置 和 作用 。 


应 用 软件 系统 应 用 软件 系统 
接口 和 协议 J 
中 间 件 | 
时 接口 和 协议 J 
读 写 器 读 写 器 。” | 
EE 射频 识别 图 
电子 标签 电子 标签 


子 
图 83 RRD 中 间 件 在 系统 中 的 位 置 和 作用 


8.1.5 安全 中 间 件 


安全 中 间 件 在 分 布 式 网 络 应 用 环境 中 提供 了 网 络 安全 技术 ,屏蔽 了 操作 系统 和 网 络 协 
议 的 差异 。 在 研制 开发 安全 中 间 件 时 ,可 以 采用 现 有 比较 成 熟 和 主流 的 分 布 计算 技术 平台 。 

目前 主要 有 OMG 的 CORBA、Sun 的 J2EE 和 Microsoft DNA 2000 ,它们 都 有 其 各 自 的 
特点 : 

(1) CORBA 的 特点 是 大 而 全 , 互 操作 性 和 开放 性 非常 好 ;缺点 是 庞大 而 复杂 ,并 且 技 术 
和 标准 的 更 新 相对 较 慢 。 

(2) Microsoft DNA 2000(Distributed Internet Applications) 是 在 Windows 2000 系列 
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操作 系统 平台 基础 上 扩展 的 分 布 计算 模型 ,适用 于 Microsoft 的 操作 系统 平台 ,但 是 由 于 其 
依赖 性 强 ,因而 在 其 他 开发 系统 平台 (如 UNIX 和 Linux) 上 不 能 发 挥 作用 。 

(3) Sun 的 J2EE 给 出 了 完整 的 基于 Java 语言 开发 面向 企业 分 布 应 用 规范 。Java 的 很 
多 重要 特性 使 它 非常 适合 中 间 件 开发 。 因 为 是 与 平台 无 关 的 ,所 以 在 Windows NT 上 开发 
的 组 件 不 需 转换 就 可 以 应 用 于 UNIX 和 Windows 平台 。 另 外 ,Java 还 提供 了 一 个 功能 丰富 
的 类 库 , 利 用 这 个 类 库 能 够 防止 开发 者 重 蹈 错误 的 柳 略 。 这 种 安全 对 于 关键 任务 的 应 用 系 
统 是 至 关 重 要 的 。J2EE 将 会 对 进行 信息 安全 中 间 件 开发 起 到 重要 的 推动 作用 。 

安全 中 间 件 产品 一 般 基 于 PKI(Public Key Infrastructure, 公 开 密 钥 基础 设施 ) 体 系 思 
想 ,对 PKI 的 基本 功能 ,如 对 称 加 密 与 解密 、 非 对 称 加 密 与 解密 、 信 息 摘 要 . 单 向 散 列 、 数 字 签 
名 、 签 名 验证 .证 书 认 证 以 及 密 钥 的 生成 ,存储 和 销毁 ,进一步 扩充 组 合 , 形 成 新 的 PKI 功能 
逻辑 ,进而 形成 系统 安全 服务 接口 .应 用 安全 服务 接口 、 储 存 安全 服务 接口 和 通信 安全 服务 
接口 。 

由 于 事 关 国家 信息 安全 、 网 上 金融 秩序 和 经 济 安全 ,一 般 由 国家 扶持 国内 企业 形成 具有 
自主 知识 产权 的 安全 中 间 件 产品 。 我 国 目 前 有 代表 性 的 安全 中 间 件 产品 主要 有 东方 通 科技 
的 Tong SEC、 清 华 紫 光 顺 风 信息 安全 有 限 公 司 的 Unis MMW 安全 中 间 件 以 及 上 海 华 腾 软 
件 系 统 有 限 公司 的 安全 服务 管理 中 间 件 Top Secure。 

安全 中 间 件 是 近 几 年 才 发 展 起 来 的 中 间 件 产品 ,属于 中 间 件 产品 的 新 成 员 , 据 易 观 国际 
推出 的 《IT 产品 和 服务 一 一 中 国 应 用 服务 器 中 间 件 软件 市 场 季度 数据 监测 报告 中 的 数据 
显示 ,目前 安全 中 间 件 只 占 到 中 间 件 产品 市 场 的 2.79%。 随 着 电子 商务 的 发 展 ,对 认证 与 加 
密 技 术 的 需求 会 呈现 出 几何 数量 级 的 增长 态势 ,安全 中 间 件 的 未 来 市 场 将 非常 广阔 。 


1. 东方 通 的 Tong SEC 


东方 通 安全 平台 Tong SEC 是 以 公 钥 基础 设施 (PKI) 为 核心 的 、 建 立 在 一 系列 相关 国际 
安全 标准 之 上 的 一 个 开放 式 应 用 开发 平台 。Tong SEC 向 上 为 应 用 系统 提供 开发 接口 ,向 下 
提供 统一 的 密码 算法 接口 及 各 种 IC 卡 和 安全 芯片 等 设备 的 驱动 接口 。 基 于 安全 平台 Tong 
SEC 可 以 开发 .构造 各 种 安全 产品 或 具有 安全 机 制 的 用 户 应 用 系统 ,如 用 于 文件 加 解密 的 安 
全 工具 ,安全 网 关 、 公 证 系统 (CA) 和 虚拟 专 网 (VPN) 等 。 

东方 通 安全 中 间 件 Tong SEC 无 论 在 企业 内 部 ,企业 之 间 、 最 终 消费 者 还 是 Internet 电 
子 支付 的 应 用 系统 中 ,都 能 够 提供 用 户 对 证 书 的 生成 分 发 和 管理 以 及 互联 网 上 数据 的 加 解 
密 、 完 整 性 的 有 效 保护 。Tong SEC 可 以 很 容易 地 与 现 有 各 类 应 用 系统 集成 ,如 财务 软件 、 工 
作 流 软件 .ERP 系统 、 各 种 中 间 件 软件 (如 MQ、TLQ、TE 和 TI 等 ) 以 及 多 种 Web 服务 器 
(如 Web Sphere、Tong Web IIS、Web Logic、Apache 和 IPlanet 等 ), 从 而 具有 广泛 的 兼容 
性 ,可 使 使 用 更 方便 灵活 。 


2. Unis MMW 安全 中 间 件 


Unis MMW 安全 中 间 件 是 清华 紫光 顺风 信息 安全 有 限 公 司 在 综合 了 企业 信息 系统 、 电 
子 商 务 系统 、OA 系统 等 各 种 应 用 系统 的 安全 需求 的 基础 上 所 提炼 出 的 安全 支撑 体系 。 安 
全 中 间 件 在 网 络 和 操作 系统 与 应 用 系统 之 间 形 成 了 “安全 垫 层 ”, 以 保护 关键 业务 系统 的 
安全 。 

Unis MMW 安全 中 间 件 具有 统一 设计 的 安全 机 制 不 会 成 为 信息 共享 的 障碍 ;可 以 在 各 
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种 应 用 系统 和 信息 系统 之 间 构 建 统一 的 安全 平台 ;各 个 应 用 系统 共享 一 套 安 全 平台 ,减少 了 
重复 投资 ;由 安全 专家 进行 设计 和 建设 的 安全 系统 独立 于 具体 的 应 用 系统 之 外 ,减少 了 安全 
漏洞 ,便于 系统 升级 。 

Unis MMW 安全 中 间 件 面向 “网 络 /系统 支撑 平台 ”提供 与 业务 无 关 的 适 配 接口 ,面向 
中 间 件 系统 或 具体 的 业务 系统 提供 与 “网络 /系统 "无关 的 适 配 接口 来 实现 各 种 安全 功能 。 
Unis MMW 安全 中 间 件 通过 与 业务 系统 或 其 他 中 间 件 系统 的 紧密 结合 ,提供 了 强大 的 安全 
功能 和 特色 服务 。 


3. Top Secure 安全 服务 管理 中 间 件 


为 满足 网 上 信息 安全 问题 的 需求 ,方便 应 用 产品 的 开发 ,上 海 华 腾 软件 系统 有 限 公司 自主 
开发 了 安全 服务 管理 中 间 件 Top Secure。 该 中 间 件 遵从 美国 RSA 实验 室 的 PKCS#11 接口 标 
准 ,具备 一 整套 用 户 、 密 码 设备 .软件 密码 引擎 、 密 码 算法 .通信 连接 和 服务 种 类 的 安全 控制 和 
访问 机 制 , 向 联机 事物 处 理 . 认 证 中 心 文件 分 发 和 网 络 远程 访问 等 上 层 应 用 提供 统一 标准 的 
安全 密码 服务 , 即 提供 信息 私有 性 、 完 整 性 ,不 可 否认 性 和 认证 4 方面 的 安全 服务 ,并 使 得 底层 
密码 设备 .密码 算法 .通信 方式 和 设备 资源 与 应 用 无 关 。 该 中 间 件 使 用 了 安全 ,简洁 的 标准 接 
口 ,本 身 并 不 涉及 各 种 具体 的 安全 算法 的 实现 ,符合 软件 开发 的 标准 化 要 求 。 

作为 一 个 在 应 用 系统 开发 中 解决 安全 问题 的 通用 开发 平台 ,Top Secure 能 够 让 应 用 开 
发 人 员 基 于 不 同 的 安全 硬件 设备 开发 设计 各 种 安全 应 用 系统 ,包括 用 于 文件 加 密 的 安全 工 
具 、 电 子 商务 应 用 系统 、 证 书 管理 中 心 (CA) 支付 网 关 和 其 他 具备 安全 机 制 的 应 用 系统 。 


8.2 云 计算 安全 概述 


随 着 网 络 进入 更 加 自由 和 灵活 的 Web 2.0 时 代 , 云 计算 的 概念 风起云涌 。 所 谓 云 计算 ， 
就 是 利用 虚拟 化 技术 建立 统一 的 基础 设施 、 服 务 、 应 用 及 信息 的 资源 池 , 以 分 布 式 技术 对 各 
种 基础 设施 资源 池 进 行 有 效 组 织 和 运用 的 一 种 运行 模式 。 

云 计算 的 出 现 使 得 公众 客户 获得 低 成 本 、 高 性 能 ,快速 配置 和 海量 化 的 计算 服务 成 为 可 
能 。 但 正如 一 件 新 鲜 事物 在 带 给 我 们 好 处 的 同时 也 会 带 来 问题 一 样 , 云 计算 在 带 来 规模 经 
济 和 高 应 用 可 用 性 的 同时 ,其 核心 技术 特点 (虚拟 化 资源 共享 和 分 布 式 等 ) 也 决定 了 它 在 安 
全 性 上 存在 着 天 然 隐 患 。 例 如 , 当 数据 和 信息 存储 在 物理 位 置 不 确定 的 “云端 ”服务 安全 、 
数据 安全 与 隐私 安全 如 何 保障 ? 这 些 问 题 是 否 会 威胁 到 个 人 、 企 业 以 至 国家 的 信息 安全 ? 
虚拟 化 模式 下 业务 的 可 用 性 如 何 保证 ? 为 此 , 现 阶段 云 安全 研究 成 为 云 计 算 应 用 发 展 中 最 
为 重要 的 研究 课题 之 一 ,得 到 越 来 越 多 的 关注 。 


8.2.1 云 计 算 简介 


1. 概述 


云 计 算 (cloud computing) 是 一 种 基于 互联 网 的 计算 方式 ,通过 这 种 方式 ,共享 的 软 硬 件 
资源 和 信息 可 以 按 需 提供 给 计算 机 和 其 他 设备 。 整 个 运行 方式 很 像 电 网 。 
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云 计算 是 继 20 世纪 80 年 代 大 型 计算 机 到 客户 端 -服务 器 的 大 转变 之 后 的 又 一 种 巨变 。 
用 户 不 需要 了 解 “ 云 ?中 基础 设施 的 细节 ,不 必 具 有 相应 的 专业 知识 ,也 无 须 直接 进行 控制 。 
云 计算 描述 了 一 种 基于 互联 网 的 新 的 IT 服务 增加 、 使 用 和 交付 模式 ,通常 涉及 通过 互联 网 
来 提供 动态 易 扩展 而 且 经 常 是 虚拟 化 的 资源 。 

通俗 的 理解 是 , 云 计算 的 “ 云 ?就 是 存在 于 互联 网 上 的 服务 器 集群 上 的 资源 , 它 包 括 硬件 
资源 (服务 器 ,存储 器 和 CPU 等 ) 和 软件 资源 (如 应 用 软件 和 集成 开发 环境 等 ) ,本 地 计算 机 
只 需要 通过 互联 网 发 送 一 个 需求 信息 , 远 端 就 会 有 成 千 上 万 的 计算 机 提供 需要 的 资源 并 将 
结果 返回 到 本 地 计算 机 ,这 样 , 本 地 计算 机 几乎 不 需要 做 什么 ,所 有 的 处 理 都 由 云 计算 提供 
商 所 提供 的 计算 机 群 来 完成 。 云 计算 网 络 拓扑 图 如 图 8.4 所 示 。 


北京 云 网 络 拓 图。 
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图 84 云 计算 网 络 拓 扑 图 


在 国内 , 云 计算 被 定义 为 : 云 计算 将 计算 任务 分 布 在 大 量 计算 机 构成 的 资源 池上 ,使 各 
种 应 用 系统 能 够 根据 需要 获取 计算 力 、 存 储 空间 和 各 种 软件 服务 。 

狭义 的 云 计 算 指 的 是 厂商 通过 分 布 式 计算 和 虚拟 化 技术 搭建 数据 中 心 或 超级 计算 机 ， 
以 免费 或 按 需 租用 方式 向 技术 开发 者 或 者 企业 客户 提供 数据 存储 、 分 析 以 及 科学 计算 等 服 
务 , 比 如 亚马逊 数据 仓库 出 租 生 意 。 

广义 的 云 计 算 指 厂商 通过 建立 网 络 服务 器 集群 ,向 各 种 不 同类 型 的 客户 提供 在 线 软件 
服务 、 硬 件 租借 、 数 据 存储 和 计算 分 析 等 不 同类 型 的 服务 。 广 义 的 云 计算 包括 了 更 多 的 厂商 
和 服务 类 型 ,例如 国内 用 友 金蝶 等 管理 软件 厂商 推出 的 在 线 财务 软件 ,谷歌 发 布 的 Google 
应 用 程序 套装 等 。 


2. 云 计算 的 技术 发 展 
云 计 算是 结合 网 格 计算 (grid computing) 、 分 布 式 计算 (distributed computing) 、 并 行 计 
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算 (parallel computing) ,效用 计算 (Cutility computing)、 网 络 存储 Cnetwork storage) .虚拟 化 
(virtualization) 和 负载 均衡 (load balance) 等 传统 计算 机 和 网 络 技术 发 展 融合 的 产物 。 

云 计 算 常 与 网 格 计算 (分 布 式 计算 的 一 种 , 巾 一 群 松 散 耦 合 的 计算 机 集 组 成 的 一 个 超级 
虚拟 计算 机 ,常用 来 执行 大 型 任务 ) ,效用 计算 (IT 资源 的 一 种 打包 和 计 费 方式 ,比如 按照 计 
算 和 存储 分 别 计量 费用 , 像 传 统 的 电力 等 公共 设施 一 样 ) 和 自主 计算 (具有 自我 管理 功能 的 
计算 机 系统 ) 相 混淆 。 

事实 上 ,许多 云 计算 部 署 依 赖 于 计算 机 集群 ,也 吸收 了 自主 计算 和 效用 计算 的 特点 。 通 
过 使 计算 分 布 在 大 量 的 分 布 式 计算 机 上 而 非 本 地 计算 机 或 远程 服务 器 中 ,企业 数据 中 心 的 
运行 将 与 互联 网 更 相似 ,这 使 得 企业 能 够 将 资源 切换 到 需要 的 应 用 上 ,根据 需求 访问 计算 机 
和 存储 系统 ,好 比 是 从 古老 的 单 台 发 电机 模式 转向 了 电厂 集中 供电 的 模式 。 它 意味 着 计算 
能 力也 可 以 作为 一 种 商品 进行 流通 ,就 像 煤气 .水 和 电 一 样 , 取 用 方便 ,费用 低廉 。 两 者 最 大 
的 不 同 在 于 , 云 计 算是 通过 互联 网 进行 传输 的 。 它 从 硬件 结构 上 说 是 多 对 一 的 ,从 服务 的 角 
度 或 从 功能 的 角度 说 是 一 对 多 的 。 

云 计算 将 对 互联 网 应 用 产品 应 用 模式 和 IT 产品 开发 方向 产生 影响 。 云 计算 技术 是 未 
来 技术 的 发 展 趋势 ,也 是 包括 Google 在 内 的 互联 网 企业 前 进 的 动力 和 方向 。 云 计算 未 来 主 
要 朝 以 下 3 个 方向 发 展 。 

(1) 手机 上 的 云 计算 。 云 计算 技术 提出 后 ,对 客户 终端 的 要 求 大 大 降低 , 瘦 客 户 机 将 成 
为 今后 计算 机 的 发 展 趋势 。 瘦 客户 机 通过 云 计算 系统 可 以 实现 目前 超级 计算 机 的 功能 ,而 
手机 就 是 一 种 典型 的 瘦 客 户 机 , 云 计 算 技 术 和 手机 的 结合 将 实现 随时 、 随 地 、 随 身 的 高 性 能 
计算 。 

(2) 云 计算 时 代 资 源 的 融合 。 云 计算 最 重要 的 创新 是 将 软件 、 硬 件 和 服务 共同 纳入 资 
源 池 ,三 者 紧密 地 结合 起 来 融合 为 一 个 不 可 分 割 的 整体 ,并 通过 网 络 向 用 户 提供 恰当 的 服 
务 。 网 络 带宽 的 提高 为 这 种 资源 融合 的 应 用 方式 提供 了 可 能 。 

(3) 云 计算 的 商业 发 展 。 最 终 人 们 可 能 会 像 缴 水 电费 那样 去 为 自己 得 到 的 计算 机 服务 
缴费 。 这 种 使 用 计算 机 的 方式 对 于 诸如 软件 开发 企业 .服务 外 包 企业 和 科研 单位 等 对 大 数 
据 量 计算 存在 需求 的 用 户 来 说 无 疑 具有 相当 大 的 诱惑 力 。 


8.2.2 云 计 算 系统 的 体系 结构 


1. 云 计 算 逻 辑 结构 


云 计算 平台 是 一 个 强大 的 “ 云 " 网 络 ,连接 了 大 量 并 发 的 网 络 计算 和 服务 ,可 利用 虚拟 化 
技术 扩展 每 一 个 服务 器 的 能 力 , 将 各 自 的 资源 通过 云 计算 平台 结合 起 来 ,提供 超级 计算 和 存 
储 能 力 。 通 用 的 云 计算 逻辑 结构 如 图 8. 5 所 示 。 

(1) 云 用 户 端 : 提供 云 用 户 请 求 服务 的 交互 界面 ,也 是 用 户 使 用 云 的 和 人口 ,用 户 通过 
Web 浏览 器 可 以 注册 、 登 录 及 定制 服务 .配置 和 管理 用 户 。 打 开 应 用 实例 与 本 地 操作 桌面 系 
统一 样 。 

(2) 服务 目录 : 云 用 户 在 取得 相应 权限 (付费 或 其 他 限制 ) 后 可 以 选择 或 定制 服务 列表 ， 
也 可 以 对 已 有 服务 进行 退 订 的 操作 ,在 云 用 户 端 界 面 生成 相应 的 图 标 或 列表 的 形式 展示 相 
关 的 服务 。 
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图 85 云 计 算 逻 辑 结构 


(3) 管理 系统 和 部 署 工 具 : 提供 管理 和 服务 ,能 管理 云 用 户 ,能 对 用 户 授权 .认证 和 登录 
进行 管理 ,并 可 以 管理 可 用 计算 资源 和 服务 ,接收 用 户 发 送 的 请 求 ,根据 用 户 请 求 并 转发 到 
相应 的 相应 程序 ,调度 资源 ,智能 地 部 署 资源 和 应 用 ,动态 地 部 团 .配置 和 回收 资源 。 

(4) 监控 : 监控 和 计量 云 系统 资源 的 使 用 情况 ,以 便 做 出 迅速 反应 ,完成 节点 同步 配置 、 
负载 均衡 配置 和 资源 监控 ,确保 资源 能 顺利 分 配给 合适 的 用 户 。 

(5) 服务 器 集群 : 虚拟 的 或 物理 的 服务 器 ,由 管理 系统 管理 ,负责 高 并 发 量 的 用 户 请 求 
处 理 、 大 运算 量 计算 处 理 和 用 户 Web 应 用 服务 , 云 数据 存储 时 采用 相应 数据 切割 算法 ,采用 
并 行 方式 上 传 和 下 载 大 容量 数据 。 

用 户 可 通过 云 用 户 端 从 列表 中 选择 所 需 的 服务 ,其 请 求 通过 管理 系统 调度 相应 的 资源 ， 
并 通过 部 署 工具 分 发 请 求 .配置 Web 应 用 。 


2. 云 计算 技术 体系 结构 


由 于 云 计算 分 为 IaaS、PaaS 和 SaaS 3 种 类 型 ,不 同 的 厂家 又 提供 了 不 同 的 解决 方案 , 因 
此 目前 还 没有 一 个 统一 的 技术 体系 结构 。 综 合 不 同 厂家 的 方案 给 出 的 一 个 供 商 椎 的 云 计算 
技术 体系 结构 如 图 8. 6 所 示 , 它 概括 了 不 同 解决 方案 的 主要 特征 。 


SOA 构 建屋 
服务 接口 服务 注册 ”| |。 服务 查找 务 访问 服务 工作 流 
管理 中 间 件 层 
用 户 管理 。 | 账号 管理 || 用 户 环境 配置 | 用 户 交互 管理 || 使 用 计 费 身份 认证 
A 
任务 管理 。 |[ 映像 部 署 和 管理 ][ 任务 调度 ] | 任务 执行 ][ 生命 期 管理 ] | | 着 
再 [综合 防护 
资源 管理 。 | 负载 均衡 “]| 故障 检测 || 故障 恢复 || 监视 统计 安全 审计 
资源 池 层 
计算 资源 池 存储 资源 池 | 。 | 网 络 资源 池 数据 资源 池 | 。 | 软件 资源 池 
物理 资源 层 
计算 机 存储 器 网 络 设施 数据 库 软件 


图 86 云 计算 体系 结构 
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云 计算 技术 体系 结构 分 为 4 层 : 物理 资源 层 ,资源 池 层 ,管理 中 间 件 层 和 SOA 构建 层 。 

(1) 物理 资源 层 包括 计算 机 、 存 储 器 、 网 络 设施 ,数据库 和 软件 等 。 

(2) 资源 池 层 是 将 大 量 相同 类 型 的 资源 构成 同 构 或 接近 同 构 的 资源 池 , 如 计算 资源 池 、 
数据 资源 池 等 。 构 建 资源 池 主 要 是 物理 资源 的 集成 和 管理 工作 ,例如 研究 在 一 个 标准 集 装 
箱 的 空间 如 何 装 下 2000 个 服务 器 、 解 决 散热 和 故障 节点 蔡 换 的 问题 并 降低 能 耗 。 

(3) 管理 中 间 件 负责 对 云 计算 的 资源 进行 管理 ,并 对 众多 应 用 任务 进行 调度 ,使 资源 能 
够 高 效 、 安 全 地 为 应 用 提供 服务 。 

(4) SOA 构建 层 将 云 计算 能 力 封装 成 标准 的 Web Services 服务 ,并 纳入 到 SOA 体系 
进行 管理 和 使 用 ,包括 服务 注册 、 查 找 、 访 问 和 构建 服务 工作 流 等 。 管 理 中 间 件 和 资源 池 层 
是 云 计算 技术 的 最 关键 部 分 ,SOA 构建 层 的 功能 更 多 依靠 外 部 设施 提供 。 


3. 云 计算 简化 实现 机 制 
基于 上 述 体系 结构 ,以 IaaS 云 计算 为 例 , 简 述 云 计算 的 实现 机 制 ,如 图 8.7 所 示 。 


系统 管理 
(负载 均衡 ) 


| 
-| 监视 统计 


计算 /存储 资源 
图 87 云 计算 简化 实现 机 制 


(1) 用 户 交 互 接口 向 应 用 以 Web Services 方式 提供 访问 接口 ,获取 用 户 需 求 。 

(2) 服务 目录 是 用 户 可 以 访问 的 服务 清单 。 系 统管 理 模 块 负责 管理 和 分 配 所 有 可 用 的 
资源 ,其 核心 是 负载 均衡 。 配 置 工具 负责 在 分 配 的 节点 上 准备 任务 运行 环境 。 

(3) 监视 统计 模块 负责 监视 节点 的 运行 状态 ,并 完成 用 户 使 用 节点 情况 的 统计 。 执 行 
过 程 并 不 复杂 。 

(4) 用 户 交 互 接口 允许 用 户 从 目录 中 选取 并 调用 一 个 服务 ,该 请 求 传递 给 系统 管理 模 
块 后 ,用 户 交 互 接口 将 为 用 户 分 配 恰当 的 资源 ,然后 调用 配置 工具 来 为 用 户 准 备 运行 环境 。 


8.2.3 云 计 算 服 务 层次 


云 计算 服务 集合 根据 提供 的 服务 类 型 划分 成 4 个 层次 : 应 用 层 、 平 台 层 、 基 础 设施 层 和 
虚拟 化 层 , 每 一 层 都 对 应 着 一 个 子 服务 集合 。 云 计算 服务 层次 模型 如 图 8. 8 所 示 。 
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[| 应 用 层 -一 一 | 软件 即 服务 
[| 平台 层 -一 一 | 。 平台 即 服务 
[| 基础 设施 层 。 |- 一 一 ~[ ”基础 设施 即 服务 
[| 虚 反 化 晨 ”| 一 一 | 硬件 即 服务 
云 计算 服务 集合 云 服务 集合 中 的 于 服务 


图 88 云 计算 服务 层次 模型 


云 计 算 的 服务 层次 是 根据 服务 类 型 即 服务 集合 来 划分 的 ,与 计算 机 网 络 体系 结构 中 的 
层次 划分 不 同 。 在 计算 机 网 络 中 每 个 层次 都 实现 一 定 的 功能 , 层 与 层 之 间 有 一 定 关联 ;而 云 
计算 体系 结构 中 的 层次 是 可 以 分 割 的 , 即 某 一 层次 可 以 单独 完成 一 项 用 户 的 请 求 ,而 不 需要 
其 他 层次 为 其 提供 必要 的 服务 和 支持 。 

在 云 计算 服务 体系 结构 中 ,各 层次 与 相关 云 产 品 对 应 。 

(1) 应 用 层 对 应 SaaS( 软 件 即 服务 ) ,如 Google APPS、SoftWare 十 Services。 

(2) 平台 层 对 应 PaaS (平台 即 服务 ), 如 IBM IT Factory、 Google APPEngine、 
Force. com。 

(3) 基础 设施 层 对 应 IaaS( 基 础 设施 即 服务 ) 如 Amazo Ec2 IBM Blue Cloud、Sun Grid。 

(4) 虚拟 化 层 对 应 硬件 即 服务 ,结合 Paas 提供 硬件 服务 ,包括 服务 器 集群 及 硬件 检测 等 


服务 。 
云 计算 服务 体系 结构 如 图 8.9 所 示 。 
云 计算 门户 SaaS 
个 
IDC 服 务 服务 应 用 系统 服务 系统 
重生 
| 服务 调度 和 管理 引擎 服务 管理 
a 个 
IaaS 服 务 平台 云 计 算 平台 VM 中 间 构 建 PaaS 
全 个 
laaS 调 度 分 配 引擎 laas 
资源 地 | P= psd 
网 络 设备 服务 器 数据 库 机 房 环境 IT 资 产 


图 89 云 计算 服务 体系 结构 


大 部 分 的 云 计 算 基 础 构架 是 由 通过 数据 中 心 传送 的 可 信赖 的 服务 和 创建 在 服务 器 上 的 
不 同 层次 的 虚拟 化 技术 组 成 的 。 人 们 可 以 在 任何 提供 网 络 基础 设施 的 地 方 使 用 这 些 服 务 。 
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“ 云 "通常 表现 为 对 所 有 用 户 的 计算 需求 的 单一 访问 点 。 人 们 通常 希望 商业 化 的 产品 能 够 满 
足 服务 质量 (QoS) 的 要 求 ,并 且 一 般 情 况 下 要 提供 服务 水 平 协议 。 开 放 标准 对 于 云 计 算 的 
发 展 是 至 关 重 要 的 ,并 且 开 源 软件 已 经 为 众多 的 云 计 算 实例 提供 了 基础 。 


1. 云 计 算 的 主要 服务 形式 


目前 , 云 计算 的 主要 服务 形式 有 SaaS(Software as a Service, 软 件 即 服 务 )、PaaS(Platform as 
a Service, 平 台 即 服务 ) 和 IaaS(Infrastructure as a Service, 基 础 设施 即 服 务 ) ,如 图 8. 10 所 示 。 


应 用 资源 
ERP 办 公 服务 测试 环境 
自动 化 运 维 管理 || 系统 监控 管理 商业 智能 


SaaS 


PaaS 数据 库 | 中间 件 ]| 开发 环境 ][ 并 行 计算 框架 
操作 系统 资源 


基础 设施 资源 
计算 资源 池 存储 资源 池 网 络 资源 池 
jg hah 和 土 


图 810 云 计算 的 主要 服务 形式 


1) SaaS 

SaaS 服务 提供 商 将 应 用 软件 统一 部 署 在 自己 的 服务 器 上 ,用 户 根据 需求 通过 互联 网 向 
厂商 订购 应 用 软件 服务 ,服务 提供 商 根据 客户 所 定 软件 的 数量 和 时 间 的 长 短 等 因素 收费 ,并 
且 通 过 浏览 器 向 客户 提供 软件 。 这 种 服务 模式 的 优势 是 ,由 服务 提供 商 维护 和 管理 软件 并 
提供 软件 运行 的 硬件 设施 ,用 户 只 需 拥 有 能 够 接 入 互联 网 的 终端 , 即 可 随时 随地 使 用 软件 。 
这 种 模式 下 ,客户 不 再 像 传 统 模式 那样 在 硬件 、 软 件 和 维护 人 员 方 面 花费 大 量 资金 ,只 需要 
支出 一 定 的 租赁 服务 费用 ,通过 互联 网 就 可 以 享受 到 相应 的 硬件 、 软 件 和 维护 服务 ,这 是 网 
络 应 用 最 具 效 益 的 营运 模式 。 对 于 小 型 企业 来 说 ,SaaS 是 采用 先进 技术 的 最 好 途径 。 

以 企业 管理 软件 为 例 ,SaaS 模式 的 云 计算 ERP 可 以 让 客户 根据 并 发 用 户 数 量 、 所 用 功 
能 多 少数 据 存储 容量 和 使 用 时 间 长 短 等 因素 的 不 同 组 合 按 需 支付 服务 费用 , 既 不 用 支付 软 
件 许可 费用 ,也 不 需要 支付 采购 服务 器 等 硬件 设备 费用 以 及 购买 操作 系统 和 数据 库 等 平台 
软件 费用 ,也 不 用 承担 软件 项 目 定制 .开发 .实施 费用 和 IT 维护 部 门 开支 费用 ,实际 上 云 计 
算 ERP 正 是 继承 了 开源 ERP 免 许 可 费用 ,只 收服 务 费 用 的 最 重要 特征 ,是 突出 了 服务 的 
ERP 产品 。 

目前 ,Salesforce. com 是 提供 这 类 服务 的 最 著名 的 公司 ,Google Doc, Google Apps 和 
Zoho Office 也 属于 这 类 服务 。 
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2) PaaS 

PaaS 是 把 开发 环境 作为 一 种 服务 来 提供 。 这 是 一 种 分 布 式 平台 服务 ,厂商 提供 开发 环 
境 、 服 务 器 平台 和 硬件 资源 等 服务 给 客户 ,用 户 在 其 平台 基础 上 定制 开发 自己 的 应 用 程序 并 
通过 其 服务 器 和 互联 网 传递 给 其 他 客户 。PaaS 能 够 给 企业 或 个 人 提供 研发 的 中 间 件 平台 ， 
提供 应 用 程序 开发 ,数据库 、 应 用 服务 器 .试验 .托管 及 应 用 服务 。 

Google App Engine、Salesforce 的 force. com 平台 和 八 百 客 的 800APP 是 PaaS 的 代表 
产品 。 以 Google App Engine 为 例 , 它 是 一 个 由 Python 应 用 服务 器 群 、BigTable 数据 库 及 
GFS 组 成 的 平台 ,为 开发 者 提供 一 体 化 主机 服务 器 及 可 自动 升级 的 在 线 应 用 服务 。 用 户 编 
写 应 用 程序 并 在 Google 的 基础 架构 上 运行 就 可 以 为 互联 网 用 户 提供 服务 ,Google 提供 应 用 
运行 及 维护 所 需要 的 平台 资源 。 

3) IaaS 

IaaS 即 把 厂商 的 由 多 台 服 务 器 组 成 的 “云端 ?基础 设施 作为 计量 服务 提供 给 客户 。 它 将 
内 存 .IO 设备 .存储 和 计算 能 力 整 合成 一 个 虚拟 的 资源 池 ,为 整个 业界 提供 所 需要 的 存储 
资源 和 虚拟 化 服务 器 等 服务 。 这 是 一 种 托管 型 硬件 方式 ,用 户 付费 使 用 厂商 的 硬件 设施 。 
例如 ,Amazon Web 服务 (AWS) 和 IBM 的 BlueCloud 等 均 是 将 基础 设施 作为 服务 出 租 。 

IaaS 的 优点 是 用 户 只 需 低 成 本 硬件 , 按 需 租用 相应 计算 能 力 和 存储 能 力 , 大 大 降低 了 用 
户 在 硬件 上 的 开销 。 

目前 ,以 Google 云 应 用 最 具 代 表 性 ,例如 Google Docs、Google Apps、Google Sites 和 云 
计算 应 用 平台 Google App Engine。 

Google Docs 是 最 早 推 出 的 云 计算 应 用 ,是 软件 即 服务 思想 的 典型 应 用 。 它 是 类 似 于 微 
软 公司 的 Office 的 在 线 办 公 软 件 。 它 可 以 处 理 和 搜索 文档 、 表 格 和 幻灯 片 , 并 可 以 通过 网 络 
和 他 人 分 享 并 设置 共享 权限 。Google 文件 是 基于 网 络 的 文字 处 理 和 电子 表格 程序 ,可 提高 
协作 效率 ,多 名 用 户 可 同时 在 线 更 改 文件 ,并 可 以 实时 看 到 其 他 成 员 所 作 的 编辑 。 用 户 只 需 
一 台 接 入 互联 网 的 计算 机 和 可 以 使 用 Google 文件 的 标准 浏览 器 即 可 在 线 创 建 和 管理 .实时 
协作 、 权 限 管理 .共享 .搜索 能 力 、 修 订 历 史记 录 功 能 ,以 及 随时 随地 访问 的 特性 ,大 大 提高 了 
文件 操作 的 共享 和 协同 能 力 。 

Google APPs 是 Google 企业 应 用 套件 ,使 用 户 能 够 处 理 日 渐 庞 大 的 信息 量 , 随 时 随地 
保持 联系 ,并 可 与 其 他 同事 客户 和 合作 伙伴 进行 沟通 .共享 和 协作 。 它 集成 了 Cmail、 
Google Talk Google 日 历 .Google Docs 以 及 最 新 推出 的 云 应 用 Google Sites、\API 扩展 以 及 
一 些 管理 功能 ,包含 了 通信 ,协作 与 发 布 . 管 理 服 务 3 方面 的 应 用 ,并 且 拥 有 云 计算 的 特性 ， 
能 够 更 好 地 实现 随时 随地 协同 共享 。 另 外 , 它 还 具有 低 成 本 的 优势 和 托管 的 便捷 ,用 户 无 须 
自己 维护 和 管理 搭建 的 协同 共享 平台 。 

Google Sites 是 Google 最 新 发 布 的 云 计算 应 用 ,作为 Google Apps 的 一 个 组 件 出 现 。 
它 是 一 个 侧重 于 团队 协作 的 网 站 编辑 工具 ,可 利用 它 创建 一 个 各 种 类 型 的 团队 网 站 ,通过 
Google Sites 可 将 所 有 类 型 的 文件 包括 文档 、 视 频 、 相 片 、 日 历 及 附件 等 与 好 友 、 团 队 或 整个 
网 络 分 享 。 

Google App Engine 是 Google 在 2008 年 4 月 发 布 的 一 个 平台 ,使 用 户 可 以 在 Google 
的 基础 架构 上 开发 和 部 署 自己 的 应 用 程序 。 目 前 ,Google App Engine 支持 Python 语言 和 
Java 语言 ,每 个 Google App Engine 应 用 程序 可 以 使 用 达到 500MB 的 持久 存储 空间 及 可 支 
持 每 月 500 万 综合 浏览 量 的 带宽 和 CPU。 并 且 .Google App Engine 应 用 程序 易于 构建 和 
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维护 ,并 可 根据 用 户 的 访问 量 和 数据 存储 需要 的 增长 轻松 扩展 。 同 时 ,用 户 的 应 用 可 以 和 
Google 的 应 用 程序 集成 .Google App Engine 还 推出 了 软件 开发 套件 (SDK) ,包括 可 以 在 用 
户 本 地 计算 机 上 模拟 所 有 Google App Engine 服务 的 网 络 服务 器 应 用 程序 。 


2. 云 计 算 产 业 


云 计算 的 产业 分 为 3 层 : 云 软件 、 云 平台 和 云 设 备 。 

(1) 上 层 : 云 软件 (SaaS) 

云 软件 打破 以 往 大 厂 垄 断 的 局 面 , 所 有 人 都 可 以 在 上 面 自由 挥洒 创意 ,提供 各 式 各 样 的 
软件 服务 。 参 与 者 : 世界 各 地 的 软件 开发 者 。 

(2) 中 层 : 云 平台 (PaaS) 

云 平台 打造 程序 开发 平台 与 操作 系统 平台 ,让 开发 人 员 可 以 通过 网 络 撰写 程序 与 服务 ， 
一 般 消费 者 也 可 以 在 上 面 运 行程 序 。 参 与 者 : Google、 微 软 、 便 果 和 Yahoo! 等 公司 。 

(3) 下 层 : 云 设备 (laaS) 

云 设备 将 基础 设施 (如 IT 系统 .数据库 等 ) 集 成 起 来 , 像 旅馆 一 样 分 隔 成 不 同 的 房间 供 
企业 租用 。 参 与 者 : 英 业 达 、IBM ,戴尔 .惠普 和 亚马逊 等 公司 。 


8.2.4 云 计 算 技 术 层次 


云 计算 技术 层次 和 云 计算 服务 层次 不 是 一 个 概念 ,后 者 从 服务 的 角度 来 划分 云 的 层 
次 ,主要 突出 了 云 服务 能 给 用 户 带 来 什么 。 而 云 计 算 的 技术 层次 主要 从 系统 属性 和 设计 
思想 角度 来 说 明 云 , 是 对 软 硬 件 资源 在 云 计 算 技 术 中 所 充当 角色 的 说 明 。 从 云 计算 技术 
角度 来 分 , 云 计 算 由 4 部 分 构成 : 物理 资源 .虚拟 化 资源 .服务 管理 中 间 件 和 服务 接口 ,如 
图 8.11 所 示 。 


本 服务 接口 (服务 接口 、 服 务 注册 、 服 务 查找 、 服 务 访问 ) 


算 门 | 服务 管理 中 间 件 (用 户 管理 、 资 源 管理 、 安 全 管理 、 映 像 管理 ) 


虚拟 化 资源 (计算 资源 池 、 网 络 资源 池 、 存 储 资源 池 、 数 据 库 资源 池 ) 


次 上 | 物理 资源 (服务 器 集群 、 网 络 设备 、 存 储 设备 、 数 据 库 ) 
图 811 云 计算 技术 层次 


(1) 服务 接口 : 统一 规定 了 在 云 计算 时 代 使 用 计算 机 的 各 种 规范 和 云 计算 服务 的 各 种 
标准 等 , 它 是 用 户 端 与 云端 交互 操作 的 入 口 ,可 以 完成 用 户 或 服务 注册 以 及 对 服务 的 定制 和 
使 用 。 

(2) 服务 管理 中 间 件 : 在 云 计 算 技 术 中 ,中 间 件 位 于 服务 和 服务 器 集群 之 间 , 提 供 管理 
和 服务 , 即 云 计 算 体 系 结构 中 的 管理 系统 。 对 标识 、 认 证 ,授权 、 目 录 和 安全 性 等 服务 进行 标 
准 化 和 操作 ,为 应 用 提供 统一 的 标准 化 程序 接口 和 协议 ,隐藏 底层 硬件 操作 系统 和 网 络 的 
异 构 性 ,统一 管理 网 络 资源 。 其 用 户 管理 包括 用 户 身份 验证 ,用 户 许可 和 用 户 定制 管理 ; 资 
源 管理 包括 负载 均衡 ,资源 监控 和 故障 检测 等 ;安全 管理 包括 身份 验证 ,访问 授权 、 安 全 审计 
和 综合 防护 等 ;映像 管理 包括 映像 创建 .部署 和 管理 等 。 
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(3) 虚拟 化 资源 : 指 一 些 可 以 实现 一 定 操作 ,具有 一 定 功能 ,但 其 本 身 是 虚拟 而 不 是 真 
实 的 资源 ,如 计算 资源 池 、 存 储 资源 池 、 网 络 资源 池 和 数据 库 资源 池 等 ,通过 软件 技术 来 实现 
相关 的 虚拟 化 功能 ,包括 虚拟 环境 、 虚 拟 系统 和 虚拟 平台 。 

(4) 物理 资源 : 主要 指 能 支持 计算 机 正常 运行 的 一 些 硬件 设备 及 技术 ,可 以 是 价格 低廉 
的 PC, 也 可 以 是 价格 昂贵 的 服务 器 及 磁盘 阵列 等 设备 ,可 以 通过 现 有 网 络 技术 并行 技术 和 
分 布 式 技术 将 分 散 的 计算 机 组 成 一 个 能 提供 超 强 功能 的 集群 ,用 于 计算 和 存储 等 云 计算 操 
作 。 在 云 计算 时 代 , 本 地 计算 机 可 能 不 再 像 传 统计 算 机 那样 需要 空间 足够 的 硬盘 、 大 功率 的 
处 理 器 和 大 容量 的 内 存 , 只 需要 一 些 必要 的 硬件 设备 .如 网 络 设备 和 基本 的 输入 输出 设 
备 等 。 


8.2.5 云 计 算 与 云 安全 


云 安全 (cloud security) 紧 随 云 计 算 之 后 出 现 。 它 是 网 络 时 代 信 息 安 全 的 最 新 体现 , 它 
融合 了 并 行 处 理 、 网 格 计算 .未知 病毒 行为 判断 等 新 兴 技 术 和 概念 ,通过 网 状 的 大 量 客户 端 
对 网 络 中 软件 行为 的 异常 监测 ,获取 互联 网 中 木马 和 恶意 程序 的 最 新 信息 ,并 发 送 到 服务 器 
端 进行 自动 分 析 和 处 理 ,再 把 病毒 和 木马 的 解决 方案 分 发 到 每 一 个 客户 端 。 

未 来 杀毒 软件 将 无 法 有 效 地 处 理 日 益 增 多 的 恶意 程序 。 来 自 互联 网 的 主要 威胁 正在 由 
计算 机 病毒 转向 恶意 程序 及 木马 ,在 这 样 的 情况 下 ,. 原 有 的 特征 库 判 别 法 显然 已 经 过 时 。 云 
安全 技术 应 用 后 ,识别 和 查 杀 病毒 不 再 仅仅 依靠 本 地 硬盘 中 的 病毒 库 , 而 是 依靠 庞大 的 网 络 
服务 ,实时 进行 采集 、 分 析 以 及 处 理 。 

云 安全 的 策略 构想 是 : 整个 互联 网 就 是 一 个 巨大 的 “杀毒 软件 ”, 参 与 者 越 多 ,每 个 参与 
者 就 越 安全 ,整个 互联 网 就 会 更 安全 。 因 为 如 此 庞大 的 用 户 群 足以 覆盖 互联 网 的 每 个 角落 ， 
只 要 某 个 网 站 被 挂 马 或 某 个 新 木马 病毒 出 现 , 就 会 立刻 被 截获 。 云 安全 的 发 展 迅 速 ,趋势 、 
瑞星 ,卡巴 斯 基 、MCAFEE、SYMANTEC、 江 民 科技 .PANDA .金山 和 360 安全 卫士 等 都 扒 
出 了 云 安 全 解决 方案 。 

所 谓 云 安全 ,主要 包含 两 个 方面 的 含义 。 

(1) 云 自 身 的 安全 保护 ,也 称 为 云 计算 安全 ,包括 云 计算 应 用 系统 安全 、 云 计算 应 用 服 
务 安全 和 云 计算 用 户 信息 安 全 等 , 云 计算 安全 是 云 计算 技术 健康 可 持续 发 展 的 基础 。 

(2) 使 用 云 的 形式 提供 和 交付 安全 ,也 即 云 计算 技术 在 安全 领域 的 具体 应 用 ,也 称 为 安 
全 云 计算 ,就 是 基于 云 计算 的 、 通 过 采用 云 计算 技术 来 提升 安全 系统 的 服务 效能 的 安全 解决 
方案 ,如 基于 云 计 算 的 防 病毒 技术 和 挂 马 检 测 技术 等 。 

目前 针对 云 安全 的 研究 方向 主要 有 3 个 。 

(1) 云 计算 安全 ,主要 研究 如 何 保 障 云 自身 及 其 上 的 各 种 应 用 的 安全 ,包括 云 计算 平台 
系统 安全 、 用 户 数 据 安全 存储 与 隔离 .用户 接 入 认证 ,信息 传输 安全 ,网络 攻击 防护 和 合 规 审 
计 等 。 

(2) 安全 基础 设置 的 云 化 ,主要 研究 如 何 采 用 云 计 算 技 术 新 建 、 整 合 安全 基础 设施 资 
源 \ 优 化 安全 防护 机 制 ,包括 通过 云 计算 技术 构建 超大 规模 安全 事件 、 信 息 采 集 与 处 理 平台 ， 
实现 对 海量 信息 的 采集 、 关 联 分 析 、 提 升 全 网 安全 态势 把 控 及 风险 控制 能 力 等 。 

(3) 云 安 全 服务 ,主要 研究 各 种 基于 云 计算 平台 为 客户 提供 的 安全 服务 ,如 防 病 毒 服 
务 等 。 
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8.2.6 云 计算 安全 概述 


1. 云 安全 思想 的 来 源 


云 安 全 技术 是 P2P 技术 、 网 格 技术 和 云 计算 技术 等 分 布 式 计算 技术 混合 发 展 、 自 然 演 化 
的 结果 。 
值得 一 提 的 是 , 云 安全 的 核心 思想 与 早 在 2003 年 就 提出 的 反 垃圾 邮件 网 格 非常 接近 。 
当时 认为 ,垃圾 邮件 泛滥 而 无 法 用 技术 手段 很 好 地 自动 过 滤 , 是 因为 所 依赖 的 人 工 智 能 方法 
不 是 成 熟 技术 。 垃 圾 邮件 的 最 大 的 特征 是 : 它 会 将 相同 的 内 容 发 送 给 数 以 百 万 计 的 接收 
者 。 为 此 ,可 以 建立 一 个 分 布 式 统计 和 学 习 平台 ,以 大 规模 用 户 的 协同 计算 来 过 滤 垃 圾 
邮件 : 

首先 ,用 户 安装 客户 端 ,为 收 到 的 每 一 封 邮件 计算 出 一 个 唯一 的 “指纹 ”, 通 过 比 对 “ 指 
纹 ” 可 以 统计 相似 邮件 的 副本 数 , 当 副 本 数 达 到 一 定数 量 , 就 可 以 判定 邮件 是 垃圾 邮件 。 

其 次 ,由 于 互联 网 上 多 台 计 算 机 比 一 台 计 算 机 掌握 的 信息 更 多 ,因而 可 以 采用 分 布 式 贝 
叶 斯 学 习 算 法 ,在 成 百 上 千 的 客户 端 机 器 上 实现 协同 学 习 过 程 , 收 集 、 分 析 并 共享 最 新 的 信 
息 。 反 垃圾 邮件 网 格 体现 了 真正 的 网 格 思想 ,每 个 加 入 系统 的 用 户 既 是 服务 的 对 象 , 也 是 完 
成 分 布 式 统计 功能 的 一 个 信息 节点 , 随 着 系统 规模 的 不 断 扩大 ,系统 过 滤 垃 圾 邮件 的 准确 性 
也 会 随 之 提高 。 用 大 规模 统计 方法 来 过 滤 垃 圾 邮件 的 做 法 比 用 人 工 智能 的 方法 更 成 熟 ,不 
容易 出 现 误 判 假 阳 性 的 情况 ,实用 性 很 强 。 

反 垃 圾 邮件 网 格 就 是 利用 分 布 互联 网 里 的 千 百 万 台 主 机 的 协同 工作 来 构建 一 道 拦截 垃 
圾 邮件 的 “天 网 ”。 反 垃圾 邮件 网 格 思想 提出 后 ,引起 较为 广泛 的 关注 ,受到 了 中 国 最 大 的 邮 
件 服务 提供 商 网 易 公 司 创办 人 丁磊 等 的 重视 。 既 然 垃圾 邮件 可 以 如 此 处 理 , 病 毒 和 木马 等 
亦 然 ,这 与 云 安 全 的 思想 就 相去 不 远 了 。 

2. 云 安 全 的 先进 性 

云 安 全 是 一 群 探 针 的 结果 上 报 、 专 业 处 理 结果 的 分 享 , 云 安全 的 好 处 是 理论 上 可 以 把 病 
毒 的 传播 范围 控制 在 一 定 区 域内 ,这 和 探 针 的 数量 、 存 活 及 病毒 处 理 的 速度 有 关 。 

传统 的 上 报 是 人 为 的 、 手 动 的 ,而 云 安全 是 系统 在 几 秒 钟 内 自动 快捷 地 完成 的 ,这 种 上 
报 是 最 及 时 的 ,人 工 上 报 就 做 不 到 这 一 点 。 理 想 状态 下 ,从 一 个 盗号 木马 攻击 某 台 计算 机 ， 
到 整个 云 安全 网 络 对 其 拥有 免疫 和 查 杀 能 力 , 仅 需 几 秒 的 时 间 。 


3. 云 安全 系统 的 难点 


要 想 建立 云 安 全 系统 并 使 之 正常 运行 ,需要 解决 四 大 问题 : 

(1) 需要 海量 的 客户 端 ( 云 安 全 探 针 )。 只 有 拥有 海量 的 客户 端 ,才能 对 互联 网 上 出 现 
的 恶意 程序 和 危险 网 站 有 最 灵敏 的 感知 能 力 。 一 般 而 言 , 安 全 厂商 的 产品 使 用 率 越 高 ,反应 
应 当 越 快 ,最 终 应 当 能 够 实现 无 论 哪个 网 民 中 毒 或 访问 挂 马 网 页 ,都 能 在 第 一 时 间 做 出 
反应 。 

(2) 需要 专业 的 反 病毒 技术 和 经 验 。 发 现 的 恶意 程序 应 当 在 尽量 短 的 时 间 内 被 分 析 ， 
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这 需要 安全 厂商 具有 过 硬 的 技术 ,否则 容易 造成 样本 的 堆积 ,使 云 安 全 的 快速 探测 的 结果 大 
打折 扣 。 

(3) 需要 大 量 的 资金 和 技术 投入 。 云 安全 系统 在 服务 器 和 带宽 等 硬件 需要 极 大 的 投 
和 ,同时 要 求 安全 厂商 应 当 具 有 相应 的 顶尖 技术 团队 和 持续 的 研究 花费 。 

(4) 可 以 是 开放 的 系统 ,允许 合作 伙伴 的 加 入 。 云 安全 的 探 针 应 当 与 其 他 软件 相 兼容 ， 
即使 用 户 使 用 不 同 的 杀毒 软件 ,也 可 以 享受 云 安全 系统 带 来 的 成 果 。 


8.2.7 物 联网 云 计 算 安全 


物 联网 的 特征 之 一 是 智能 处 理 , 指 利用 云 计 算 和 模糊 识别 等 各 种 智能 计算 技术 ,对 海 
量 的 数据 和 信息 进行 分 析 和 处 理 ， 对 物体 实施 智能 化 的 控制 。 云 计算 作为 一 种 新 兴 的 计算 
模式 ,能 够 很 好 地 给 物 联网 提供 技术 支撑 。 

一 方面 , 物 联 网 的 发 展 需要 云 计算 强大 的 处 理 和 存储 能 力作 为 支撑 。 从 量 上 看 , 物 联 
网 将 使 用 数量 惊人 的 传感器 采集 到 的 海量 数据 。 这 些 数 据 需要 通过 无 线 传 感 网 和 宽带 互联 
网 向 某 些 存储 和 处 理 设施 汇聚 ,而 使 用 云 计算 来 承载 这 些 任 务 具有 非常 显著 的 性 价 比 优 
势 。 从 质 上 看 , 使 用 云 计算 设施 对 这 些 数据 进行 处 理 ` 分 析 和 挖掘 ,可 以 更 加 迅速 、 准 确 、 智 
能 地 对 物理 世界 进行 管理 和 控制 , 使 人 类 可 以 更 加 及 时 、 精 细 地 管理 物质 世界 ,从 而 达到 智 
慧 的 状态 ,大 幅 提高 资源 利用 率 和 社会 生产 力 水 平 。 云 计算 凭借 其 强大 的 处 理 能 力 、 存 储 
能 力 和 极 高 的 性 能 价格 比 必 将 成 为 物 联网 的 后 台 支 撑 平 台 。 

另 一 方面 , 物 联网 将 成 为 云 计算 最 大 的 用 户 , 为 云 计算 取得 更 大 的 商业 成 功 葛 定 基石 。 

但 是 , 云 计算 与 物 联网 结合 必须 考虑 两 大 关键 条 件 : 

(1) 规模 化 是 其 结合 基础 。 物 联网 的 规模 足够 大 之 后 , 才 有 可 能 和 云 计算 结合 起 来 , 比 
如 行业 应 用 、 智 能 电网 和 地 震 台 网 监测 等 都 需要 云 计算 。 而 对 一 般 性 的 .局 域 的 ,家 庭 网 的 
物 联 网 应 用 , 则 没有 必要 结合 云 计 算 。 

(2) 实用 技术 是 实现 条 件 。 合 适 的 业务 模式 和 实用 的 服务 才能 让 物 联网 和 云 计算 更 好 
地 为 人 类 服务 。 作 为 一 种 新 兴 技 术 , 云 计算 技术 必然 存在 许多 安全 隐患 ,缺乏 个 体 隐 私 的 保 
护 机 制 等 , 目前 主要 的 针对 性 防范 措施 如 表 8. 2 所 示 。 


表 8.2 云 计算 安全 防范 措施 


安全 性 要 求 对 其 他 用 户 对 服务 提供 商 
访问 权限 控制 权限 控制 程序 权限 控制 程序 
存储 私密 性 存储 隔离 存储 加 密 、 文 件 系统 加 密 
运行 私密 性 虚拟 机 隔离 .操作 系统 隔离 操作 系统 隔离 
传输 私密 性 传输 层 加 密 、VPN、HTTPS、SSL 网 络 加 密 
持久 可 用 性 数据 备份 数据 镜像 分 布 式 存储 数据 备份 .数据 镜像 .分布 式 存储 
访问 速度 高 速 网 络 .数据 缓存 高 速 网 络 ,数据 缓存 
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8.3 云 计 算 核 心 技术 及 应 用 


8.3.1 云 计 算 的 核心 技术 


云 计算 系统 运用 了 许多 技术 ,其 中 以 编程 模型 .数据 管理 技术 数据 存储 技术 、 虚 拟 化 技 
术 和 云 计算 平台 管理 技术 最 为 关键 。 


1. 编程 模型 


MapReduce 是 Google 开发 的 Java、Python 和 C++ 编程 模型 , 它 是 一 种 简化 的 分 布 式 
编程 模型 和 高 效 的 任务 调度 模型 ,用 于 大 规模 数据 集 ( 大 于 1TB) 的 并 行 运算 。 严 格 的 编程 
模型 使 云 计 算 环境 下 的 编程 十 分 简单 。MapReduce 模式 的 思想 是 将 要 执行 的 问题 分 解 成 
Map( 映 射 ) 和 Reduce( 化 简 ) 的 方式 , 先 通 过 Map 程序 将 数据 切割 成 不 相关 的 区 块 ,分 配 ( 调 
度 ) 给 大 量 计算 机 处 理 , 达 到 分 布 式 运 算 的 效果 ,再 通过 Reduce 程序 将 结果 汇 整 输出 。 


2. 海量 数据 分 布 存储 技术 


云 计 算 系 统 由 大 量 的 服务 器 组 成 ,同时 为 大 量 的 用 户 服务 ,因此 云 计 算 系 统 采用 分 布 式 
存储 的 方式 存储 数据 ,用 宛 余 存 储 的 方式 保证 数据 的 可 靠 性 。 云 计算 系统 中 广泛 使 用 的 数 
据 存储 系统 是 Google 的 GFS 和 Hadoop 团队 开发 的 GFS 的 开源 实现 HDFS。 

GFS 即 Google 文件 系统 (Google File System) ,是 一 个 可 扩展 的 分 布 式 文件 系统 ,用 于 
大 型 的 分布 式 的 、 对 大 量 数 据 进 行 访问 的 应 用 。GFS 的 设计 思想 不 同 于 传统 的 文件 系统 ， 
是 针对 大 规模 数据 处 理 和 Google 应 用 特性 而 设计 的 。 它 运行 于 廉价 的 普通 硬件 上 ,但 可 以 
提供 容错 功能 。 它 可 以 给 大 量 的 用 户 提供 总 体 性 能 较 高 的 服务 。 

一 个 GFS 集群 由 一 个 主 服务 器 (master) 和 大 量 的 块 服务 器 (chunk server) 构 成 ,并 被 许 
多 客户 (client) 访 问 。 主 服务 器 存储 文件 系统 所 有 的 元 数据 ,包括 名 字 空 间 、 访 问 控制 信息 、 
从 文件 到 块 的 映射 以 及 块 的 当前 位 置 。 它 也 控制 系统 范围 的 活动 ,如 块 租约 (lease) 管 理 、 孤 
儿 块 的 垃圾 收集 和 块 服务 器 间 的 块 迁 移 。 主 服务 器 定期 通过 Heart Beat 消息 与 每 一 个 块 服 
务 器 通信 ,给 块 服务 器 传递 指令 并 收集 它 的 状态 。GFS 中 的 文件 被 切 分 为 64MB 的 块 并 以 
元 余 存 储 , 每 份 数 据 在 系统 中 保存 3 个 以 上 备份 。 

客户 与 主 服务 器 的 交换 只 限于 对 元 数据 的 操作 ,所 有 数据 方面 的 通信 都 直接 和 块 服务 
器 联系 ,这 大 大 提高 了 系统 的 效率 ,防止 主 服 务 器 负载 过 重 。 


3. 海量 数据 管理 技术 


云 计算 需要 对 分 布 的 海量 的 数据 进行 处 理 和 分 析 , 因 此 ,数据 管理 技术 必须 能 够 高 效 
地 管理 大 量 的 数据 。 云 计算 系统 中 的 数据 管理 技术 主要 是 Google 的 BT(BigTable) 数 据 管 
理 技 术 和 Hadoop 团队 开发 的 开源 数据 管理 模块 HBase。 

BT 是 建立 在 GFS、Scheduler、Lock Service 和 MapReduce 之 上 的 一 个 大 型 的 分 布 式 数 
据 库 ,与 传统 的 关系 数据 库 不 同 , 它 把 所 有 数据 都 作为 对 象 来 处 理 , 形 成 一 个 巨大 的 表格 ,用 
来 分 布 存储 大 规模 结构 化 数据 。 
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Google 的 很 多 项 目 使 用 BT 来 存储 数据 ,包括 网 页 查询 .Google Earth 和 Google 金融 。 
这 些 应 用 程序 对 BT 的 要 求 各 不 相同 : 数据 大 小 (从 URL 到 网 页 到 卫星 图 像 ) 不 同 ,反应 速 
度 不 同 (从 后 端的 大 批 处 理 到 实时 数据 服务 )。 对 于 不 同 的 要 求 ,BT 都 成 功 地 提供 了 灵活 高 
效 的 服务 。 


4. 虚拟 化 技术 


通过 虚拟 化 技术 可 实现 软件 应 用 与 底层 硬件 相隔 离 , 它 包括 将 单个 资源 划分 成 多 个 虚 
拟 资源 的 裂 分 模式 ,也 包括 将 多 个 资源 整合 成 一 个 虚拟 资源 的 聚合 模式 。 虚 拟 化 技术 根据 
对 象 可 分 成 存储 虚拟 化 .计算 虚拟 化 和 网 络 虚拟 化 等 ,计算 虚拟 化 又 分 为 系统 级 虚拟 化 、 应 
用 级 虚拟 化 和 桌面 虚拟 化 。 


5. 云 计 算 平台 管理 技术 


云 计 算 资 源 规模 庞大 ,服务 器 数量 众多 并 分 布 在 不 同 的 地 点 ,同时 运行 着 数 百 种 应 用 ， 
如 何 有 效 地 管理 这 些 服 务 器 ,保证 整个 系统 提供 不 间断 的 服务 ,是 巨大 的 挑战 。 

云 计 算 系 统 的 平台 管理 技术 能 够 使 大 量 的 服务 器 协同 工作 ,方便 地 进行 业务 部 署 和 开 
通 , 快 速 发 现 和 恢复 系统 故障 ,通过 自动 化 .智能 化 的 手段 实现 大 规模 系统 的 可 靠 运营 。 


8.3.2 典型 云 计算 平台 


云 计 算 的 研究 吸引 了 不 同 技 术 领 域 的 巨头 ,因此 在 云 计算 理论 及 实现 架构 上 也 有 所 不 
同 。 如 亚马逊 公司 利用 虚拟 化 技术 提供 云 计算 服务 ,推出 S3(Simple Storage Service) 提供 
可 靠 , 快 速 、 可 扩展 的 网 络 存 储 服务 ,而 弹性 可 扩展 的 云 计算 服务 器 EC2(Elastic Compute 
Cloud, 弹 性 计算 云 ) 采 用 Xen 虚拟 化 技术 ,提供 一 个 虚拟 的 执行 环境 (虚拟 机 器 ) ,让 用 户 通 
过 互联 网 来 执行 自己 的 应 用 程序 。IBM 将 包括 Xen 和 PowerVM 虚拟 的 Linux 操作 系统 镜 
像 与 Hadoop 并 行 工作 负载 调度 。 下 面 以 Google 公司 的 云 计 算 核心 技术 和 架构 为 例 作 基 
本 讲解 。 

云 计算 的 先行 者 Google 的 云 计算 平台 能 实现 大 规模 分 布 式 计算 和 应 用 服务 程序 ,平台 
包括 MapReduce 分 布 式 处 理 技术 、Hadoop 框架 .分 布 式 的 文件 系统 GFS、 结 构 化 的 
BigTable 存储 系统 以 及 Google 其 他 的 云 计算 支撑 要 素 。 

现 有 的 云 计算 通过 对 资源 层 、 平 台 层 和 应 用 层 的 虚拟 化 以 及 物理 上 的 分 布 式 集成 ,将 庞 
大 的 IT 资源 整合 在 一 起 。 更 重要 的 是 , 云 计算 不 仅仅 是 资源 的 简单 汇集 , 它 提供 了 一 种 管 
理 机 制 ,让 整个 体系 作为 一 个 虚拟 的 资源 池 对 外 提供 服务 ,并 赋予 开发 者 透明 获取 资源 和 使 
用 资源 的 自由 。 


1. MapReduce 分 布 式 处 理 技术 


MapReduce 是 云 计算 的 核心 技术 ,一 种 分 布 式 运 算 技 术 , 也 是 简化 的 分 布 式 编程 模式 ， 
适合 用 来 处 理 大 量 数据 的 分 布 式 运 算 , 用 于 解决 问题 的 程序 开发 模型 ,也 是 开发 人 员 拆 解 问 
题 的 方法 。 

MapReduce 的 软件 实现 是 指定 一 个 Map 函数 ,把 键 / 值 对 (key/value) 映 射 成 新 的 键 / 
值 对 ,形成 一 系列 中 间 形 式 的 键 / 值 对 ,然后 把 它们 传 给 Reduce 函数 ,把 具有 相同 中 间 形 式 
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键 的 值 合并 在 一 起 。Map 和 Reduce 函数 具有 一 定 的 关联 性 。 
2. Hadoop 架构 


在 Google 发 表 MapReduce 后 ,2004 年 开源 社 群 用 Java 搭建 出 一 套 Hadoop 框架 ,用 于 
实现 MapReduce 算法 ,能 够 把 应 用 程序 分 割 成 许多 很 小 的 工作 单元 ,每 个 单元 可 以 在 任何 
集群 节点 上 执行 或 重复 执行 。 

此 外 ,Hadoop 还 提供 一 个 分 布 式 文件 系统 GFS, 是 一 个 可 扩展 、 结 构 化 ,具备 日 志 的 分 
布 式 文件 系统 ,支持 大 型 .分布 式 大 数据 量 的 读 写 操作 ,其 容错 性 较 强 。 

而 分 布 式 数据 库 (BigTable) 是 一 个 有 序 稀疏、 多 维度 的 映射 表 , 有 和 良好 的 伸缩 性 和 高 
可 用 性 ,用 来 将 数据 存储 或 部 署 到 各 个 计算 节点 上 。Hadoop 框架 具有 高 容错 性 及 对 数据 读 
写 的 高 吞吐 率 , 能 自动 处 理 失败 节点 ,如 图 8. 12 所 示 。 

在 Hadoop 架构 中 ,MapReduceAPI 提供 Map 和 Reduce 处 理 .GFS 分 布 式 文件 系统 和 
BigTable 分 布 式 数据 库 提供 数据 存 取 。 基 于 Hadoop 可 以 非常 轻松 和 方便 地 完成 处 理 海量 
数据 的 分 布 式 并 行程 序 , 并 运行 于 大 规模 集群 上 。 


3. Google 云 计 算 执 行 过 程 


云 计算 服务 方式 多 种 多 样 , 通 过 对 Google 云 计算 架构 及 技术 的 理解 ,在 此 给 出 用 户 将 
要 执行 的 程序 或 处 理 的 问题 提交 云 计算 的 平台 Hadoop, 其 执行 过 程 如 图 8. 13 所 示 。 


MapReduceAPI 
Master | | Worker Worker, .:. Worker, 
选择 执行 分 配 数据 块 将 Map 结 
Map 程 序 的 “上 广 盖 | 到 执行 Map 存在 本 机 
Worker 机 器 的 机 器 执行 
云 计 算 架 构 Hadoop 
结合 GFS 和 二 
MapReduceAPI BigTable 选择 执行 BigTable 读 取 远程 Map， 
(Map, Reduce) | (分 布 式 数据 库 ) Reduce 程 序 混合 、 汇 整 和 排 
GFS(Google 分 布 式 文件 系统 ) 的 Worker 机 器 上 -| 序 执行 Reduce 
图 812 Hadoop 架 构 图 813 Google 云 计算 执行 过 程 


如 图 8. 13 所 示 的 Google 云 计算 执行 过 程 包括 以 下 步骤 : 

(1) 将 要 执行 的 MPI 程序 复制 到 Hadoop 框架 中 的 Master 和 每 一 台 Worker 机 器 中 。 

(2) Master 选择 由 哪些 Worker 机 器 来 执行 Map 程序 与 Reduce 程序 。 

(3) 分 配 所 有 的 数据 区 块 到 执行 Map 程序 的 Worker 机 器 中 进行 Map( 切 割 成 小 块 数 
据 ) 。 

(4) 将 Map 后 的 结果 存 人 Worker 机 器 。 

(5) 执行 Reduce 程序 的 Worker 机 器 ,远程 读 取 每 一 份 Map 结果 ,进行 混合 、 汇 整 与 排 
序 , 同 时 执行 Reduce 程序 。 

(6) 将 结果 输出 给 用 户 ( 开 发 者 ) 。 

在 云 计算 中 ,为 了 保证 计算 和 存储 等 操作 的 完整 性 ,充分 利用 MapReduce 的 分 布 和 可 
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靠 特 性 ,在 数据 上 传 和 下 载 过 程 中 ,根据 各 Worker 节点 在 指定 时 间 内 反馈 的 信息 判断 节点 
的 状态 是 正常 还 是 死亡 , 若 节 点 死亡 , 则 将 其 负责 的 任务 分 配给 别 的 节点 ,确保 文件 数据 的 
完整 性 。 


8.3.3 典型 的 云 计 算 系 统 及 应 用 


由 于 云 计 算 技术 范围 很 广 ,目前 各 大 IT 企业 提供 的 云 计 算 服务 主要 根据 自身 的 特点 和 
优势 来 实现 。 下 面 以 Google、IBM 和 Amazon 为 例 进行 说 明 。 


1. Google 的 云 计 算 平台 


Google 的 硬件 条 件 优 势 以 及 大 型 的 数据 中 心 .搜索 引擎 的 支柱 应 用 促进 了 Google 云 计 
算 迅 速 发 展 。Google 的 云 计 算 主要 由 MapReduce、Google 文件 系统 (GFS) 和 BigTable 组 
成 。 它 们 是 Google 内 部 云 计算 基础 平台 的 3 个 主要 部 分 。Google 还 构建 其 他 云 计 算 组 件 ， 
包括 一 个 领域 描述 语言 以 及 分 布 式 锁 服 务 机 制 等 。Sawzall 是 一 种 建立 在 MapReduce 基础 
上 的 领域 语言 ,专门 用 于 大 规模 的 信息 处 理 。Chubby 是 一 个 高 可 用 、 分 布 式 数据 锁 服 务 , 当 
有 机 器 失效 时 ,Chubby 使 用 Paxos 算法 来 保证 备份 。 


2. IBM“ 蓝 云 ”计算 平台 


“ 蓝 云 "解决 方案 是 由 IBM 云 计 算 中 心 开 发 的 企业 级 云 计算 解决 方案 。“ 蓝 云 " 基 于 
IBM Almaden 研究 中 心 的 云 基础 架构 ,采用 了 Xen 和 PowerVM 虚拟 化 软件 、Linux 操作 系 
统 映像 以 及 Hadoop 软件 (GFS 以 及 MapReduce 的 开源 实现 ) 。 

“ 蓝 云 "计算 平台 由 一 个 数据 中 心 .IBM Tivoli 部 署 管理 软件 (provisioning manager) 、 
IBM Tivoli 监控 软件 (monitoring) IBM WebSphere 应 用 服务 器 IJBM DB2 数据 库 以 及 一 些 
开源 信息 处 理 软 件 和 开源 虚拟 化 软件 共同 组 成 。“ 蓝 云 ”的 硬件 平台 环境 与 一 般 的 x86 服务 
器 集群 类 似 , 使 用 刀片 的 方式 增加 了 计算 密度 。“ 蓝 云 ? 软 件 平台 的 特点 主要 体现 在 虚拟 机 
以 及 对 于 大 规模 数据 处 理 软件 Apache Hadoop 的 使 用 上 。 

“ 蓝 云 ?平台 的 一 个 重要 特点 是 虚拟 化 技术 的 使 用 。 虚 拟 化 的 方式 在 “ 蓝 云 ”中 有 两 个 级 
别 ,一 个 是 在 硬件 级 别 上 实现 虚拟 化 , 另 一 个 是 通过 开源 软件 实现 虚拟 化 。 硬 件 级 别 的 虚拟 
化 可 以 使 用 IBM p 系列 的 服务 器 ,获得 硬件 的 逻辑 分 区 LPAR(Logic Partition) 。 逻 辑 分 区 
的 CPU 资源 能 够 通过 IBM Enterprise Workload Manager 来 管理 。 通 过 这 样 的 方式 加 上 在 
实际 使 用 过 程 中 的 资源 分 配 策略 ,能 够 使 相应 的 资源 合理 地 分 配 到 各 个 逻辑 分 区 。p 系列 
系统 的 逻辑 分 区 最 小 粒度 是 1/10 颗 CPU。Xen 则 是 软件 级 别 上 的 虚拟 化 ,能 够 在 Linux 基 
础 上 运行 另外 一 个 操作 系统 。 

“ 蓝 云 ?存储 体系 结构 包含 类 似 于 GFS 的 集群 文件 系统 以 及 基于 块 设备 方式 的 存储 区 
域 网 络 (SAN)。 在 设计 云 计算 平台 的 存储 体系 结构 时 ,可 以 通过 组 合 多 个 磁盘 获得 很 大 的 
磁盘 容量 。 相 对 于 磁盘 的 容量 ,在 云 计算 平台 的 存储 中 ,磁盘 数据 的 读 写 速度 是 一 个 更 重要 
的 问题 ,因此 需要 对 多 个 磁盘 进行 同时 读 写 。 这 种 方式 要 求 将 数据 分 配 到 多 个 节点 的 多 个 
磁盘 当中 。 为 达到 这 一 目的 ,存储 技术 有 两 个 选择 ,一 个 是 使 用 类 似 于 GFS 的 集群 文件 系 
统 , 另 一 个 是 基于 块 设备 的 SAN 系统 。 
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3. Amazon 的 弹性 计算 云 


Amazon 是 互联 网 上 最 大 的 在 线 零 售 商 , 为 了 应 付 交 易 高 峰 , 不 得 不 购买 了 大 量 的 服务 
器 。 而 在 大 多 数 时 间 ,大 部 分 服务 器 闲置 ,造成 了 很 大 的 浪费 。 为 了 合理 利用 空闲 服务 器 ， 
Amazon 建立 了 自己 的 云 计算 平台 弹性 计算 云 (EC2) ,并 且 是 第 一 家 将 基础 设施 作为 服务 出 
售 的 公司 。 

Amazon 将 自己 的 弹性 计算 云 建立 在 公司 内 部 的 大 规模 集群 计算 的 平台 上 ,而 用 户 
可 以 通过 弹性 计算 云 的 网 络 界面 去 操作 在 云 计算 平台 上 运行 的 各 个 实例 (instance)。 
用 户 使 用 实例 的 付费 方式 由 用 户 的 使 用 状况 决定 , 即 用 户 只 需 为 自己 所 使 用 的 计算 平 
台 实 例 付费 ,运行 结束 后 计 费 也 随 之 结束 。 这 里 所 说 的 实例 即 是 由 用 户 控 制 的 完整 的 
虚拟 机 运行 实例 。 通 过 这 种 方式 ,用 户 不 必 自 己 去 建立 云 计算 平 台 , 节 省 了 设备 与 维护 
费用 。 

弹性 计算 云 用 户 使 用 客户 端 通过 SOAP over HTTPS 协议 与 Amazon 弹性 计算 云 内 部 
的 实例 进行 交互 。 这 样 ,弹性 计算 云 平 台 为 用 户 或 者 开发 人 员 提 供 了 一 个 虚拟 的 集群 环境 ， 
在 用 户 具有 充分 灵活 性 的 同时 ,也 减轻 了 云 计算 平台 拥有 者 (Amazon 公司 ) 的 管理 负担 。 弹 
性 计算 云 中 的 每 一 个 实例 代表 一 个 运行 中 的 虚拟 机 。 用 户 对 自己 的 虚拟 机 具有 完整 的 访问 
权限 ,包括 针对 此 虚拟 机 操作 系统 的 管理 员 权 限 。 虚 拟 机 的 收费 也 是 根据 虚拟 机 的 能 力 进 
行 费用 计算 的 ,实际 上 ,用 户 租用 的 是 虚拟 的 计算 能 力 。 

总 而 言 之 ,Amazon 通过 提供 弹性 计算 云 ,满足 了 小 规模 软件 开发 人 员 对 集群 系统 的 需 
求 , 减 小 了 维护 负担 。 其 收费 方式 相对 简单 明了 : 用 户 使 用 多 少 资 源 ,只 需 为 这 一 部 分 资源 
付费 即 可 。 

为 了 弹性 计算 云 的 进一步 发 展 ,Amazon 规划 了 如 何在 云 计算 平台 基础 上 帮助 用 户 开 发 
网 络 化 的 应 用 程序 。 除 了 网 络 零售 业务 以 外 , 云 计算 也 是 Amazon 公司 的 核心 价值 所 在 。 
Amazon 将 来 会 在 弹性 计算 云 的 平台 基础 上 添加 更 多 的 网 络 服务 组 件 模块 ,为 用 户 构建 云 计 
算 应 用 提供 方便 。 


8.4 云 计 算 应 用 安全 体系 与 关键 技术 


8.4.1 云 计 算 应 用 安全 体系 


目前 ,对 云 安全 研究 最 为 活跃 的 组 织 是 云 安全 联盟 (Cloud Security Alliance, CSA)。 
CSA 作为 业界 比较 认可 的 云 安全 研究 论坛 ,在 2009 年 12 月 17 日 发 布 了 一 份 云 计 算 服 务 的 
安全 实践 手册 一 一 ( 云 计算 安全 指南 》, 该 指南 总 结 了 云 计算 的 技术 架构 模型 .安全 控制 模型 
以 及 相关 合 规模 型 之 间 的 映射 关系 ,如 图 8. 14 所 示 。 

根据 CSA 提出 的 云 安 全 控制 模型 , 云 上 的 安全 首先 取决 于 云 服务 的 分 类 ,其 次 是 云 上 
部 署 的 安全 架构 以 及 业务 、 监 管 和 其 他 合 规 要 求 。 对 这 两 部 分 内 容 进行 差距 分 析 , 就 可 以 输 
出 整个 云 的 安全 状态 ,以 及 如 何 与 资产 的 保障 要 求 相关 联 。 

2010 年 3 月 云 安 全 联盟 又 发 表 了 其 在 云 安 全 领域 的 最 新 研究 成 果 一 一 云 计 算 的 七 大 安 
全 威胁 ,获得 了 广泛 的 引用 和 认可 ,其 主要 内 容 如 下 : 
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(1) 云 计算 的 滥用 、 恶 用 和 拒绝 服务 攻击 ; 

(2) 不 安全 的 接口 和 API; 

(3) 恶意 的 内 部 员工 ; 

(4) 共享 技术 产生 的 问题 ; 

(5) 数据 汇 漏 ; 

(6) 账号 和 服务 动 持 ; 

(7) 未 知 的 安全 场景 。 

依据 CSA 提出 的 技术 观点 ,国际 上 一 些 组 织 和 机 构 如 CAM. (Common Assurance 
Metric Beyond the Cloud) ,微软 以 及 国内 的 绿 盟 科技 等 也 在 云 安 全 领域 进行 了 系列 探索 ,如 
云 计算 安全 技术 体系 框架 研究 、 云 安全 技术 解决 方案 研究 等 。 关 于 云 计算 安全 技术 体系 框 
架 , 目 前 比较 获得 认可 的 模型 如 图 8. 15 所 示 。 


全 和 下 
1 
| 应 用 安全 ! 
4 I 
| | 人 四国 时 
去 行 安全 吕 密 | | 识 | |: 
| | 一 = _ | 数 和 | | 别 | | 安 [| 中 
上 可 | 密 站 和 站 吉 [| 务 [31 
| 接口 安全 案 | | 加 | | 访 | | 件 || 连 | 111 
1 1 1 管 | | 问 | | 管 | | 续 [| 
1@1a 虚拟 化 安全 理 | | 管 | | 理 | | 性 |111 
1 史 1 虹 1 昌 1 
| | | ”|[ 诗 机 安全 网 络 安全 中 | 
1! 1 | 物理 与 1 
I ---- 中 
通信 安全 上 
1 
1 


图 815 云 计算 安全 技术 体系 框架 


从 图 8. 15 可 以 看 出 ,对 于 不 同 的 云 服务 模式 (IaaS、PaaS 和 SaaS) ,安全 关注 点 是 不 一 
样 的 。 当 然 也 有 一 些 是 这 3 种 模式 共有 的 ,如 数据 安全 、 加 密 和 密 钥 管 理 、 身 份 识别 和 访问 
控制 .安全 事件 管理 和 业务 连续 性 等 。 


1. Iaas 层 安全 


JaaS 层 涵盖 从 机 房 设 备 到 硬件 平台 的 所 有 基础 设施 资源 层面 , 它 包 括 将 资源 抽象 化 的 
能 力 ,并 交付 到 这 些 资源 的 物理 或 逻辑 网 络 连接 ,终极 状态 是 IaaS 提供 商 提供 一 组 API, 允 
许 用 户 管理 基础 设施 资源 以 及 进行 其 他 形式 的 交互 。IaaS 层 安全 主要 包括 物理 安全 、 主 机 
安全 、 网 络 安全 、 虚 拟 化 安全 和 接口 安全 ,以 及 数据 安全 、 加 密 和 密 钥 管 理 、 身 份 识别 和 访问 
控制 ,安全 事件 管理 和 业务 连续 性 等 。 


2. PaaS 层 安全 


PaaS 层 位 于 IaaS 层 之 上 , 它 由 IaaS 层 增 加 了 一 个 层面 得 来 ,用 以 与 应 用 开发 框架 、 中 
间 件 能 力 以 及 数据 库 、 消 息 和 队列 等 功能 集成 。PaaS 层 允 许 开发 者 在 平台 之 上 开发 应 用 ， 
开发 的 编程 语言 和 工具 由 PaaS 层 提供 。PaaS 层 的 安全 主要 包括 接口 安全 、 运 行 安 全 以 及 
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数据 安全 、 加 密 和 密 钥 管理 ,身份 识别 和 访问 控制 ,安全 事件 管理 和 业务 连续 性 等 。 
3. SaaS 层 安全 


SaaS 层 位 于 IaaS 层 和 PaaS 层 之 上 , 它 能 够 提供 独立 的 运行 环境 ,用 以 交付 完整 的 用 户 
体验 ,包括 内 容 、 展 现 . 应 用 和 管理 能 力 。SaaS 层 的 安全 主要 是 应 用 安全 ,当然 也 包括 数据 
安全 ,加密 和 密 钥 管理 ,身份 识别 和 访问 控制 ,安全 事件 管理 和 业务 连续 性 等 。 


8.4.2 云 计算 安全 关键 技术 


从 目前 的 安全 厂商 对 于 病毒 和 木马 等 安全 风险 的 监测 和 查 杀 方式 来 看 , 云 安 全 的 总 体 
思路 与 传统 的 安全 逻辑 的 差别 并 不 大 ,但 二 者 的 服务 模式 却 截然 不 同 。 

在 云 的 另 一 端 ,拥有 全 世界 最 专业 的 团队 来 帮助 用 户 处 理 和 分 析 安 全 威胁 ,也 有 全 世界 
最 先进 的 数据 中 心 来 帮助 用 户 保存 病毒 库 。 而 且 , 云 安全 对 用 户 端的 设备 要 求 降低 了 ,使 用 
起 来 也 最 方便 。 云 安全 为 我 们 提供 了 足够 广阔 的 视野 ,这些 看 似 简单 的 内 容 , 其 中 涵盖 七 大 
核心 要 素 。 


1，Web 信誉 服务 


漠 助 全 信誉 数据 库 , 云 安全 可 以 按照 恶意 软件 行为 分 析 所 发 现 的 网 站 页 面 \ 历 史 位 置 变 
化 和 可 疑 活动 迹象 等 因素 来 指定 信誉 分 数 ,从 而 追踪 网 页 的 可 信和 度 。 然 后 将 通过 该 技术 继 
续 扫描 网 站 并 防止 用 户 访 问 被 感染 的 网 站 。 为 了 提高 准确 性 、 降 低 误 报 率 , 安 全 厂商 还 为 网 
站 的 特定 网 页 或 链接 指定 了 信誉 分 值 , 而 不 是 对 整个 网 站 进行 分 类 或 拦截 ,因为 通常 合法 网 
站 只 有 一 部 分 受到 攻击 ,而 信誉 可 以 随时 间 而 不 断 变化 。 

通过 信誉 分 值 的 比 对 ,就 可 以 知道 某 个 网 站 潜在 的 风险 级 别 。 当 用 户 访问 具有 潜在 风 
险 的 网 站 时 ,就 可 以 及 时 获得 系统 提醒 或 阻止 ,从 而 帮助 用 户 快速 地 确认 目标 网 站 的 安全 
性 。 通过 Web 信誉 服务 ,可 以 防范 恶意 程序 的 源头 。 由 于 对 零 日 攻击 的 防范 是 基于 网 站 的 
可 信 程 度 而 不 是 真正 的 内 容 , 因 此 能 有 效 预防 恶意 软件 的 初始 下 载 , 用 户 进入 网 络 前 就 能 够 
获得 防护 能 力 。 


2. 电子 邮件 信誉 服务 


电子 邮件 信誉 服务 即 按照 已 知 垃圾 邮件 来 源 的 信誉 数据 库 检 查 IP 地 址 ,同时 利用 可 以 
实时 评估 电子 邮件 发 送 者 信誉 的 动态 服务 对 IP 地 址 进行 验证 。 信 誉 评分 通过 对 IP 地 址 的 
“行为 “活动 范围 以 及 以 前 的 历史 进行 不 断 地 分 析 而 加 以 细 化 。 

按照 发 送 者 的 IP 地 址 ,恶意 电子 邮件 在 云 中 即 被 拦截 ,从 而 防止 僵尸 或 僵尸 网 络 等 
Web 威胁 到 达 网 络 或 用 户 的 计算 机 。 


3. 文件 信誉 服务 


文件 信誉 服务 技术 可 以 检查 位 于 端点 服务 器 或 网 关 处 的 每 个 文件 的 信誉 。 检 查 的 依 
据 包括 已 知 的 良性 文件 清单 和 已 知 的 恶性 文件 清单 , 即 现在 所 谓 的 防 病毒 特征 码 。 高 性 能 
的 内 容 分 发 网 络 和 本 地 缓冲 服务 器 将 确保 在 检查 过 程 中 使 延迟 时 间 降 到 最 低 。 由 于 恶意 信 
息 被 保存 在 云 中 ,因此 可 以 立即 到 达 网 络 中 的 所 有 用 户 。 而 且 , 和 占用 端点 空间 的 传统 防 病 
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毒 特 征 码 文件 下 载 相 比 ,这 种 方法 降低 了 端点 内 存 和 系统 消耗 。 
4. 行为 关联 分 析 技术 


通过 行为 分 析 的 “相关 性 技术 ”可 以 把 威胁 活动 综合 联系 起 来 ,确定 其 是 否 属于 恶意 行 
为 。Web 威胁 的 单一 活动 似乎 没有 什么 害处 ,但 是 如 果 同 时 进行 多 项 活动 ,那么 就 可 能 会 导 
致 恶意 结果 。 因 此 需要 按照 启发 式 观点 来 判断 是 否 实 际 存在 威胁 ,可 以 检查 潜在 威胁 不 同 
组 件 之 间 的 相互 关系 。 通 过 把 威胁 的 不 同 部 分 关联 起 来 并 不 断 更 新 其 威胁 数据 库 , 即 能 够 
实时 做 出 响应 ,针对 电子 邮件 和 Web 威胁 提供 及 时 、 自 动 的 保护 。 


5. 自动 反馈 机 制 


云 安 全 的 另 一 个 重要 组 件 就 是 自动 反馈 机 制 ,以 双向 更 新 流 方式 在 威胁 研究 中 心 和 技 
术 人 员 之 间 实 现 不 间断 通信 。 通 过 检查 单个 客户 的 路 由 信誉 来 确定 各 种 新 型 威胁 。 例 如 ， 
趋势 科技 公司 的 全 球 自动 反馈 机 制 的 功能 很 像 现在 很 多 社区 采用 的 “邻里 监督 "方式 ,实现 
实时 探测 和 及 时 的 “共同 智能 "保护 ,将 有 助 于 确立 全 面 的 最 新 威胁 指数 。 单 个 客户 常规 信 
誉 检查 发 现 的 每 种 新 威胁 都 会 自动 更 新 趋势 科技 公司 位 于 全 球 各 地 的 所 有 威胁 数据 库 , 防 
止 以 后 的 客户 遇 到 已 经 发 现 的 威胁 。 

由 于 威胁 资料 将 按照 通信 源 的 信誉 而 非 具 体 的 通信 内 容 收集 ,因此 不 存在 延迟 的 问题 ， 
而 客户 的 个 人 或 商业 信息 的 私密 性 也 得 到 了 保护 。 


6. 威胁 信息 汇总 


安全 公司 综合 应 用 各 种 技术 和 数据 收集 方式 一 包括 * 蜜 负 ”、 网 络 肘 行 器 、 客 户 和 合作 
伙伴 内 容 提 交 、 反 馈 回 路 。 通 过 云 安全 中 的 恶意 软件 数据 库 、 服 务 和 支持 中 心 对 威胁 数据 进 
行 分 析 。 通 过 7X24 小 时 的 全 天 候 威胁 监控 和 攻击 防御 ,以 探测 、 预 防 并 清除 攻击 。 


7. 白 名 单 技术 


作为 一 种 核心 技术 , 白 名 单 与 黑 名 单 ( 病毒 特征 码 技术 实际 上 采用 的 是 黑 名 单 技术 思路 ) 
并 无 多 大 区 别 , 区 别 仅 在 于 规模 不 同 。AVTest . org 的 近期 恶意 样本 (Bad Files, 坏 文件 ) 包括 
了 约 1200 万 种 不 同 的 样本 。 即 使 近期 该 数量 显著 增加 ,但 坏 文件 的 数量 也 仍然 少 于 好 文件 
(Good Files) 。 商 业 白 名 单 的 样本 超过 1 亿 , 有 些 人 预计 这 一 数字 高 达 5 亿 。 因 此 ,要 逐一 追踪 
现在 全 球 存 在 的 所 有 好 文件 无 疑 是 一 项 巨大 的 工作 ,可 能 无 法 由 一 个 公司 独立 完成 。 

作为 一 种 核心 技术 ,现在 的 白 名 单 主要 被 用 于 降低 误 报 率 。 例 如 , 黑 名 单 中 也 许 存在 着 
实际 上 并 无 恶意 的 特征 码 。 因 此 防 病 毒 特征 数据 库 将 会 按照 内 部 或 商用 白 名 单 进行 定期 检 
查 , 趋 势 科 技 公司 和 熊猫 公司 目前 也 是 定期 执行 这 项 工作 。 因 此 ,作为 避免 误 报 率 的 一 种 措 
施 , 白 名 单 实际 上 已 经 被 包括 在 了 Smart Protection Network 中 。 


8.5 云 计算 应 用 安全 防护 


云 计算 作为 一 项 新 兴 的 信息 服务 模式 ,尽管 会 带 来 新 的 安全 风险 与 挑战 ,但 其 与 传统 
IT 信息 服务 的 安全 需求 并 无 本 质 区 别 ,核心 需求 仍 是 对 应 用 及 数据 的 机 密 性 、 完 整 性 、 可 用 
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性 和 隐私 性 的 保护 。 因 此 , 云 计 算 平 台 及 应 用 的 安全 防护 不 是 开发 全 新 的 安全 理念 或 体系 ， 
而 应 从 传统 安全 管理 角度 出 发 ,结合 云 计算 系统 及 应 用 特点 ,将 现 有 成 熟 的 安全 技术 及 机 制 
延伸 到 云 计算 应 用 及 安全 管理 中 ,满足 云 计算 应 用 的 安全 防护 需求 。 

下 面 将 依据 以 上 所 阐述 的 云 计算 安全 体系 及 其 防护 思路 ,主要 从 云 计算 核心 架构 安全 
防护 \ 云 计算 网 络 与 系统 安全 防护 ,数据 与 信息 安全 以 及 身份 管理 和 安全 审计 4 个 层面 来 系 
统 阐 述 云 计算 应 用 的 安全 防护 方案 ,并 结合 不 同 云 计算 应 用 的 特点 ,分 别针 对 云 服务 提供 商 
的 公共 基础 设施 云 以 及 企业 用 户 的 私有 云 提出 安全 防护 策略 应 用 建议 。 


8.5.1 云 计 算 核心 架构 安全 


IaaS 的 虚拟 化 技术 、PaaS 的 分 布 式 技术 以 及 SaaS 的 在 线 软件 技术 是 构建 云 计 算 核 心 
架构 的 关键 技术 是 开展 云 计算 服务 的 技术 基础 ,其 安全 重要 性 不 言 而 喻 。 本 节 将 在 对 IaaS、 
PaaS 和 SaaS 关键 技术 进行 分 析 的 基础 上 ,提出 安全 防护 措施 及 相关 安全 策略 要 求 , 以 提高 
云 计算 底层 架构 的 安全 性 。 


1. Iaas 核心 架构 安全 


虚拟 化 技术 是 开展 IaaS 云 服 务 的 基础 。 它 把 数据 中 心包 括 服 务 器 、 存 储 和 网 络 在 内 的 IT 
硬件 资源 抽象 化 成 逻辑 的 虚拟 资源 池 后 ,通过 网 络 传递 给 客户 ,从 而 实现 资源 的 统计 复 用 。 

虚拟 化 技术 是 将 底层 物理 设备 与 上 层 操作 系统 和 软件 分 离 的 一 种 去 耦合 技术 , 它 通过 
软件 或 固件 管理 程序 (hypervisor) 构 建 虚 拟 层 并 对 其 进行 管理 ,把 物理 资源 映射 成 逮 辑 的 虚 
拟 资源 ,对 逻辑 资源 的 使 用 与 物理 资源 差别 很 小 甚至 没有 区 别 。 虚 拟 化 的 目标 是 实现 IT 资 
源 利 用 效率 和 灵活 性 的 最 大 化 。 

虚拟 化 技术 具有 悠久 的 历史 ,20 世纪 60 年 代为 提高 硬件 利用 率 对 大 型 机 硬件 进行 分 区 
就 是 最 早 的 虚拟 化 原型 。 经 过 多 年 的 发 展 ,业界 已 经 形成 多 种 虚拟 化 技术 ,包括 服务 器 虚拟 
化 、 网 络 虚拟 化 ,存储 虚 拟 化 和 应 用 虚拟 化 等 ,与 之 相关 的 虚拟 化 运营 管理 技术 也 被 广泛 研 
究 。 虚 拟 化 能 有 效 整 合 数据 中 心服 务 器 ,提升 资源 的 利用 率 ,简化 数据 中 心 结构 ,减少 运营 
成 本 ,并 能 提高 关键 应 用 的 可 靠 性 。 这 些 优 点 ,使 得 虚拟 化 逐渐 成 为 企业 数据 中 心 IT 基础 


架构 的 关键 部 分 。 
1) IaaS 关键 技术 
与 IaaS 相关 的 虚拟 化 技术 主要 包括 服务 器 虚拟 化 .存储 虚拟 化 和 网 络 虚拟 化 。 
(1) 服务 器 虚拟 化 
服务 器 虚拟 化 也 称 系统 虚拟 化 , 它 把 一 台 物理 虚拟 机 虚拟 机 
计算 机 虚拟 化 成 一 台 或 多 台 虚 拟 计 算 机 ,各 虚拟 机 
间 通 过 称 为 虚拟 机 监控 器 (Virtual Machine 应 用 程序 应 用 程序 
Monitor, VMM) 的 虚拟 化 层 共享 CPU、 网 络 、 内 存 和 操作 系统 操作 系统 


硬盘 等 物理 资源 ,每 台 虚 拟 机 都 有 独立 的 运行 环境 。 [Ei i 
如 图 8. 16 所 示 。 虚 拟 机 可 以 看 成 是 对 物理 机 的 一 让 氢化 县 AM 

种 高 效 隔离 复制 ,要 求 同 质 .高效 和 资源 受 控 。 同 质 谍 公 

说 明 虚 拟 机 的 运行 环境 与 物理 机 本 质 上 是 相同 的 ; 
高 效 指 虚拟 机 中 运行 的 软件 需要 有 接近 在 物理 机 上 图 816 服务 器 虚拟 化 


] 
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运行 的 性 能 ;资源 受 控 指 VMM 对 系统 资源 具有 完全 的 控制 能 力 和 管理 权限 。 

按 VMM 提供 的 虚拟 平台 类 型 可 将 VMM 分 为 两 类 : 完全 虚拟 化 (Full Virtualization)， 
它 虚拟 的 是 现实 存在 的 平台 , 现 有 操作 系统 无 须 进行 任何 修改 即 可 在 其 上 运行 ,完全 虚拟 化 
技术 又 分 为 软件 辅助 和 硬件 辅助 两 类 ;类 虚拟 化 (Para-Virtualization), 它 虚拟 的 平台 是 
VMM 重新 定义 的 ,需要 对 客户 机 操作 系统 进行 修改 以 适应 虚拟 环境 。 

按 VMM 的 实现 结构 还 可 将 VMM 分 为 以 下 3 类 : Hypervisor 模型 ,该 模型 下 
VMM 直接 构建 在 硬件 层 上 ,负责 物理 资源 的 管理 以 及 虚拟 机 的 提供 ;宿主 模型 ,VMM 是 宿 
主 操作 系统 内 独立 的 内 核 模块 ,通过 调用 宿主 机 操作 系统 的 服务 来 获得 资源 ,VMM 创建 的 
虚拟 机 通常 作为 宿主 机 操作 系统 的 一 个 进程 参与 调度 ;混合 模型 ,是 上 述 两 种 模式 的 结合 
体 ,由 VMM 和 特权 操作 系统 共同 管理 物理 资源 ,实现 虚拟 化 。 

对 服务 器 的 虚拟 化 主要 包括 CPU 虚拟 化 、 内 存 虚 拟 化 和 1/O 虚拟 化 3 部 分 ,部 分 虚拟 
化 产品 还 提供 中 断 虚 拟 化 和 时 钟 虚拟 化 。 最 初 的 系统 虚拟 化 主要 通过 软件 方式 实现 。 
CPU 虚拟 化 是 服务 器 虚拟 化 最 核心 的 部 分 ,通常 通过 指令 模拟 和 异常 陷入 实现 。 内 存 虚拟 
化 通过 引入 客户 机 物理 地 址 空间 实现 多 客户 机 对 物理 内 存 的 共享 ,常用 的 内 存 虚拟 化 技术 
有 影子 页 表 。I/O 虚拟 化 通常 只 模拟 目标 设备 的 软件 接口 而 不 关心 具体 的 硬件 实现 ,可 采 
用 全 虚拟 化 、 半 虚拟 化 和 软件 模拟 等 几 种 方式 。 为 弥补 计算 机 硬件 体系 架构 在 虚拟 化 方面 
的 缺陷 ,如 因 敏感 指令 导致 的 虚拟 化 漏洞 ,解决 软件 实现 虚拟 化 存在 的 性 能 问题 ,Intel、 
AMD 等 芯片 厂商 纷纷 提出 了 各 自 的 虚拟 化 技术 ,在 CPU ,芯片 组 和 IVO 设备 等 硬件 中 增加 
对 虚拟 化 的 支持 。Intel 在 x86 体系 架构 上 提供 了 其 虚拟 化 硬件 支持 技术 VT, 包 括 CPU 处 
理 VT 技术 (VT-x)、 芯 片 组 VT 技术 (VT-d) 和 网 络 VT 技术 (VT-c)。AMD 则 提出 了 
AMD-V(Virtualization) 技 术 。 硬 件 虚 拟 化 技术 的 出 现 极 大 地 提高 了 系统 虚拟 化 技术 的 性 
能 和 效率 。 

(2) 存储 虚拟 化 

存储 系统 可 分 为 直接 依附 存储 系统 (Direct Attached Storage, DAS)、 附 网 存储 系统 
(Network-Attached Storage,NAS) 和 存储 区 域 网 络 (Storage Area Network,SAN)3 类 。 

DAS 是 服务 器 的 一 部 分 ,由 服务 器 控制 输入 /输出 ,目前 大 多 数 存 储 系统 都 属于 这 一 类 。 

NAS 将 数据 处 理 与 存储 分 离开 来 ,存储 设备 独立 于 主机 安装 在 网 络 中 ,数据 处 理由 专 
门 的 数据 服务 器 完成 。 用 户 可 以 通过 NFS 或 CIFS 数据 传输 协议 在 NAS 上 存 取 文件 ,共享 
数据 。 

SAN 向 用 户 提供 块 数据 级 的 服务 ,是 SCSI 技术 与 网 络 技术 相 结合 的 产物 , 它 采 用 高 速 
光纤 连接 服务 器 和 存储 系统 ,将 数据 的 存储 和 处 理 分 离开 来 ,采用 集中 方式 对 存储 设备 和 数 
据 进行 管理 。 

随 着 时 间 的 积累 ,数据 中 心 通常 会 配备 多 种 类 型 的 存储 设备 和 存储 系统 ,这 一 方面 加 重 
了 存储 管理 的 复杂 度 , 另 一 方面 也 使 得 存储 资源 的 利用 率 极 低 。 于 是 存储 虚拟 化 技术 应 运 
而 生 , 它 通过 在 物理 存储 系统 和 服务 器 之 间 增 加 一 个 虚拟 层 , 使 物理 存储 虚拟 化 成 逻辑 存 
储 ,使 用 者 只 访问 逻辑 存储 ,从 而 实现 对 分 散 的 ,不同 品牌 .不 同 级 别 的 存储 系统 的 整合 , 简 
化 了 对 存储 的 管理 .如 图 8. 17 所 示 。 

通过 整合 不 同 的 存储 系统 ,虚拟 存储 具有 如 下 优点 : 

O@ 能 有 效 提高 存储 容量 的 利用 率 ; 

@ 能 根据 性 能 差别 对 存储 资源 进行 区 分 和 利用 ; 
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LPhysical Disks 


非 虚拟 化 存储 架构 


虚拟 化 存储 架构 
图 817 虚拟 化 存储 架构 


@ 向 用 户 屏蔽 了 存储 设备 的 物理 差异 ; 

@ 实现 了 数据 在 网 络 上 共享 的 一 致 性 ; 

@ 简化 了 管理 ,降低 了 使 用 成 本 。 

目前 ,业界 尚未 形成 统一 的 存储 虚拟 化 标准 ,各 存储 厂商 一 般 都 根据 自己 所 掌握 的 核心 
技术 来 提供 虚拟 化 存储 解决 方案 。 从 系统 的 观点 看 ,有 3 种 实现 虚拟 化 存储 的 方法 ,分 别 是 
主机 级 虚拟 存储 、 设 备 级 虚拟 存储 和 网 络 级 虚拟 存储 。 

主机 级 虚拟 存储 主要 通过 软件 实现 ,不 需要 额外 的 硬件 支持 。 它 把 外 部 设备 转化 成 连 
续 的 逻辑 存储 区 间 ,用户 可 通过 虚拟 管理 软件 对 它们 进行 管理 ,以 逻辑 卷 的 形式 进行 使 用 。 

设备 级 虚拟 存储 包含 两 方面 内 容 : 对 存储 设备 物理 特性 的 仿真 ,以 及 对 虚拟 存储 设备 
的 实现 。 仿 真 技术 包含 磁盘 仿真 技术 和 磁带 仿真 技术 ,磁盘 仿真 利用 磁带 设备 来 仿真 实现 
磁盘 设备 ;磁带 仿真 则 相反 ,是 利用 磁盘 存储 空间 仿真 实现 磁带 设备 。 虚 拟 存 储 设备 的 实 
现 ,是 指 将 磁盘 驱动 器 .RAID 和 SAN 设备 等 组 合成 新 的 存储 设备 。 设 备 级 虚拟 存储 技术 
将 虚拟 化 管理 软件 嵌入 到 硬件 实现 ,可 以 提高 虚拟 化 处 理 和 虚拟 设备 IO 的 效率 ,性 能 和 可 
靠 性 较 高 ,管理 方便 ,但 成 本 也 高 。 

网 络 级 虚拟 存储 是 基于 网 络 实现 的 ,通过 在 主机 、 交 换 机 或 路 由 器 上 执行 虚拟 化 模块 ， 
将 网 络 中 的 存储 资源 集中 起 来 进行 管理 。 它 有 3 种 实现 方式 : 

中 基于 互联 设备 的 虚拟 化 ,虚拟 化 模块 嵌入 到 每 个 网 络 的 每 个 存储 设备 中 。 

@ 基于 交换 机 的 虚拟 化 ,将 虚拟 化 模块 嵌入 到 交换 机 固件 或 者 运行 在 与 交换 机 相连 的 
服务 器 上 ,对 与 交换 机 相连 的 存储 设备 进行 管理 。 

@ 基于 路 由 器 的 虚拟 化 ,虚拟 化 模块 被 谤 入 到 路 由 器 固件 上 。 

网 络 级 虚拟 存储 是 对 多 辑 存储 的 最 佳 实现 。 

上 述 3 种 虚拟 存储 技术 可 以 单独 使 用 ,也 可 以 在 同一 存储 系统 中 配合 使 用 。 

(3) 网 络 虚拟 化 

狭义 的 网 络 虚 拟 化 概念 就 是 指 传统 虚拟 专用 网 络 ,通过 VPN 或 者 VLAN 的 方式 在 公 
共 网 络 上 建立 虚拟 专用 网 。 近 年 来 随 着 虚拟 化 技术 的 不 断 发 展 成 熟 ,网 络 虚拟 化 的 概念 也 
在 不 断 外 延 。 网 络 虚拟 化 与 计算 虚拟 化 是 不 可 分 割 的 ,计算 虚拟 化 的 发 展 及 成 熟 给 IT 行业 
带 来 了 革命 性 的 变化 ,网 络 虚拟 化 是 计算 虚拟 化 发 展 的 必然 结果 ,而 计算 虚拟 化 则 是 促进 网 
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络 虚拟 化 发 展 的 主要 因素 。 计 算 虚拟 化 “多 对 一 ”的 特征 对 网 络 提出 了 虚拟 化 的 要 求 , 传 统 
网 络 逐 步 向 虚拟 交换 机 、 虚 拟 网 卡 、 动 态 感 知 技 术 以 及 大 二 层 网 络 的 方向 发 展 。 

为 了 满足 虚拟 服务 器 的 通信 需求 ,网 络 也 需要 延伸 到 服务 器 内 部 ,由 此 产生 了 虚拟 交换 
机 ,虚拟 交换 机 技术 是 实现 网 络 虚拟 化 的 主要 技术 之 一 。 

如 图 8. 18 所 示 ,虚拟 交换 机 是 虚拟 化 平台 与 物理 网 卡 之 间 创 建 的 一 个 中 间 层 ,也 就 是 
说 ,一 台 物 理 服务 器 上 的 各 台 虚 拟 服务 器 通过 虚拟 交换 机 可 直接 进行 通信 ,这 部 分 流量 并 不 
会 出 现在 物理 交换 机 上 ,而 是 在 物理 服务 器 内 部 就 被 消化 掉 了 。 因 此 ,通过 虚拟 交换 机 提供 
的 交换 能 力 , 将 虚拟 服务 器 与 物理 网 络 无 缝 连接 起 来 ,满足 业务 部 署 的 需要 ,可 解决 服务 器 
虚拟 化 之 后 的 虚拟 交换 的 基本 需求 。 然 而 ,由 于 在 服务 器 内 部 新 增 了 虚拟 网 络 设备 ,这 也 给 
数据 中 心 管 理 员 的 运 维 方式 带 来 了 一 定 的 影响 : 一 方面 ,服务 器 管理 员 需 要 参与 网 络 的 管 
理 , 而 网 络 管理 员 也 不 得 不 参与 服务 器 内 部 的 管理 ; 另 一 方面 ,由 于 在 服务 器 内 部 新 增 了 虚 
拟 交 换 机 ,这 也 给 服务 器 带 来 了 额外 的 性 能 开销 。 同 时 ,由 于 虚拟 化 之 后 热 迁移 技术 的 支 
持 , 如 何 保证 虚拟 机 的 网 络 属性 也 能 够 迅速 迁移 ,适应 虚拟 机 的 迁移 需求 ,也 成 为 骂 待 解决 
的 问题 。 


虚拟 机 1 | 虚拟 机 2 | | 虚拟 机 3 | 虚拟 机 4 
人 | 一 一 虚拟 网 卡 
\ 虚拟 化 平台 
一 一 虚拟 接口 

a 漠 拟 交换 机 | 

中 一 一 物理 网 卡 
- 接 入 交换 机 
2 
图 818 网 络 虚拟 化 


针对 这 些 现状 ,业界 厂商 纷纷 提出 了 各 自 的 解决 方案 。 虚 拟 交换 机 技术 分 3 个 发 展 
阶段 : 

第 一 阶段 是 基于 软件 的 虚拟 交换 机 技术 。 目 前 该 技术 已 经 在 业界 成 熟 应 用 ,多 个 虚拟 
化 软件 厂商 已 经 有 成 熟 产品 且 规模 商用 。 但 是 该 技术 存在 一 定 的 局 限 性 ,基于 软件 的 虚拟 
交换 机 需要 占用 服务 器 的 CPU 资源 ,稳定 性 较 物理 交换 机 差 , 而 且 在 数据 中 心 网 络 中 ,外 部 
的 交换 机 都 是 通用 的 传统 交换 机 设备 ,造成 成 本 的 提高 。 

第 二 阶段 是 基于 网 卡 的 虚拟 交换 机 技术 ,在 网 络 虚拟 化 之 后 ,同一 物理 网 卡 需要 满足 
多 台 服 务 器 的 网 络 1/O 需求 ,传统 网 卡 性 能 问题 将 会 是 一 个 瓶颈 。 通 过 网 卡 虚 拟 化 技术 ， 
引入 多 队列 机 制 (VMDq) 和 SR-IOV 技术 .可 提升 网 卡 的 1/O 性 能 ,满足 多 服务 器 通信 的 
需求 。 

目前 该 类 技术 处 于 “战国 时 代 ”. 虽 然 没 有 商用 ,但 是 技术 较为 成 熟 ,多 个 厂商 已 经 有 相 
关 产 品 , 目 前 的 瓶颈 在 于 不 同 厂 商 之 间 的 管理 性 和 互通 性 存在 差异 ,无 法 兼容 ,并 且 虚 拟 化 
网 卡 是 IT 厂商 制造 的 ,网 络 设备 厂商 无 法 兼容 ,导致 IDC 的 网 络 设备 仍然 采用 传统 交换 机 。 

第 三 阶段 是 基于 物理 交换 机 的 虚拟 交换 机 ,该 技术 基于 数据 包 中 的 TAG 标识 虚拟 机 网 
卡 , 并 且 基 于 相应 虚 端口 灵活 地 进行 策略 控制 。 目 前 该 类 技术 并 没有 标准 化 .处 于 在 研 阶 
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段 ,IEEE 已 经 成 立 了 EVB 工作 组 ,涵盖 多 个 网 络 厂 商 、 服 务 器 厂商 和 芯片 厂商 ,于 2010 年 
开展 了 标准 制定 工作 。 

2) IaaS 核心 架构 安全 防护 

从 功能 角度 看 ,IaaS 系统 的 逻辑 架构 如 图 8. 19 所 示 , 包 含 业务 管理 平台 、 虚 拟 网 络 系 
统 、 虚 拟 存储 系统 .虚拟 处 理 系统 ,以 及 最 上 层 的 客户 虚拟 机 。 


客户 客户 客户 
虚拟 机 虚拟 机 虚拟 机 


业务 虚拟 处 理 系统 


虚拟 存储 系统 


虚拟 网 络 系统 


图 819 laaS 系统 逻辑 架构 


其 中 虚拟 网 络 系统 是 通过 在 物理 网 络 上 运行 虚拟 化 将 物理 网 络 虚拟 成 多 个 逻辑 独立 的 
网 络 , 如 虚拟 交换 机 等 。 它 主要 涉及 的 物理 设备 有 服务 器 、 交 换 机 、 路 由 器 和 网 卡 等 部 件 。 

虚拟 存储 系统 是 通过 在 主机 和 物理 存储 系统 上 运行 虚拟 化 软件 将 物理 存储 虚拟 成 满足 
上 层 需要 的 特定 存储 服务 。 它 主要 涉及 的 物理 设备 有 存储 交换 机 和 磁盘 阵列 等 部 件 。 

虚拟 处 理 系 统 是 通过 在 物理 主机 上 运行 虚拟 机 平台 软件 将 异 构 的 物理 主机 虚拟 成 满足 
上 层 需要 的 虚拟 主机 。 它 主要 涉及 的 物理 设备 有 主机 服务 器 。 虚 拟 处 理 系统 可 以 使 用 本 地 
硬盘 SAN 和 iSCSI 等 作为 存储 ,也 可 以 使 用 虚拟 存储 系统 作为 存储 。 客 户 虚 拟 机 是 虚拟 处 
理 系 统 将 物理 主机 进行 虚拟 产生 的 虚拟 机 ,是 客户 操作 系统 安装 的 位 置 。 

业务 管理 平台 负责 向 用 户 提供 业务 受理 .业务 开通 .业务 监视 和 业务 保障 等 能 力 。 业 务 
平台 通过 与 客户 、 计 费 系统 和 虚拟 化 平台 的 交互 实现 IaaS 业务 的 端 到 端 运营 和 管理 。 

在 虚拟 化 安全 方面 ,应 充分 利用 虚拟 化 平台 提供 的 安全 功能 进行 合理 配置 ,防止 客户 虚 
拟 机 恶意 访问 虚拟 平台 或 其 他 客户 的 虚拟 机 资源 。 

(1) 服务 器 虚拟 化 安全 

虚拟 机 管理 器 VMM 是 用 来 运行 虚拟 机 VM 的 内 核 ,代替 传统 操作 系统 管理 着 底层 物 
理 硬件 ,是 服务 器 虚拟 化 的 核心 环节 。 其 安全 性 直接 关系 到 上 层 的 虚拟 机 安全 ,因此 VMM 
自身 必须 提供 足够 的 安全 机 制 , 防 止 客户 机 利用 溢出 漏洞 取得 高 级 别 的 运行 等 级 ,从 而 获得 
对 物理 资源 的 访问 控制 ,给 其 他 客户 带 来 极 大 的 安全 隐患 。 

在 具体 的 安全 防护 及 安全 策略 配置 上 ,应 满足 如 下 要 求 。 

@ 虚拟 机 管理 器 应 启用 内 存 安全 强化 策略 ,使 虚拟 化 内 核 , 用 户 模式 应 用 程序 及 可 执行 
组 件 ( 如 驱动 程序 和 库 ) 位 于 无 法 预测 的 随机 内 存 地 址 中 。 在 将 该 功能 与 微 处 理 器 提供 的 不 可 
执行 的 内 存 保护 结合 使 用 时 ,可 以 提供 保护 ,使 恶意 代码 很 难 通 过 内 存 漏洞 来 利用 系统 漏洞 。 

@ 虚拟 机 管理 器 应 开启 内 核 模块 完整 性 检查 功能 ,利用 数字 签名 确保 由 虚拟 化 层 加 载 
的 模块 .驱动 程序 及 应 用 程序 的 完整 性 和 真实 性 。 

@ 在 安全 管理 上 采取 服务 最 小 化 原则 : 虚拟 机 管理 器 接口 应 严格 限定 为 管理 虚拟 机 所 
需 的 API, 并 关闭 无 关 的 协议 端口 。 

@ 规范 虚拟 机 管理 器 补丁 管理 要 求 。 在 进行 补丁 更 新 前 ,应 对 补丁 与 现 有 虚拟 机 管理 
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器 系统 的 兼容 性 进行 测试 ,确认 后 与 系统 提供 厂商 配合 进行 相应 的 修复 。 同 时 应 对 漏洞 发 
展 情况 进行 跟踪 ,形成 详细 的 安全 更 新 状态 报表 。 

@ 严格 控制 对 每 台 物 理 机 之 上 的 虚拟 平台 提供 的 对 HTTP、Telnet 和 SSH 等 管理 接 
口 的 访问 ,关闭 不 需要 的 功能 ,禁用 明文 方式 的 Telnet 接口 。 

在 用 户 认证 安全 方面 ,采用 高 强度 口令 ,降低 口令 被 盗用 和 破解 的 可 能 性 。 

另外 ,在 服务 器 虚拟 化 高 可 用 性 方面 ,目前 一 些 主流 虚拟 化 软件 提供 商 推出 了 成 熟 的 虚 
拟 化 高 可 用 性 技术 或 方案 , 如 高 可 用 性 (High Availability, HA)、 零 宕 机 容错 (Fault 
Tolerance,FT) .备份 与 恢复 (Data Recovery,DR) 等 方式 快速 恢复 故障 用 户 的 虚拟 机 系统 ， 
提高 用 户 系统 的 高 可 用 性 。 

a 高 可 用 性 : 在 宿主 物理 机 发 生 故 障 时 , 受 影 响 的 虚拟 机 在 其 他 宿主 物理 机 上 的 备份 
自动 重启 ,从 而 为 虚拟 机 用 户 提供 易于 使 用 和 经 济 高 效 的 高 可 用 性 。 其 具体 原理 是 虚拟 化 
平台 实时 监控 系统 内 虚拟 机 的 运行 状态 , 若 该 虚拟 机 没有 在 指定 时 间 内 生成 检测 信和 号 ,就 认 
为 其 发 生 了 故障 并 自动 重新 启动 该 虚拟 机 。 对 于 启用 该 服务 ,要求 虚拟 机 与 其 备份 虚拟 机 
必须 不 在 一 台 宿主 物理 机 上 。 

@ 零 宕 机 容错 : 通过 构建 容错 虚拟 机 的 方式 ,在 虚拟 机 发 生 数据 、 事 务 或 连接 丢失 等 故 
障 时 快速 启用 容错 虚拟 机 。 容 错 可 提供 比 HA 更 高 级 别 的 业务 连续 性 。 其 具体 要 求 是 : 虚 
拟 机 与 其 容错 虚拟 机 必须 不 在 同一 台 宿主 物理 机 上 ,容错 保护 的 虚拟 机 文件 也 必须 存储 在 
共享 存储 器 上 。 

@ 备份 和 恢复 : 可 以 实现 对 虚拟 机 进行 全 面 和 增 量 的 恢复 ,也 能 进行 个 别 文件 和 目录 
的 恢复 。 在 不 中 断 虚 拟 机 的 使 用 或 虚拟 机 提供 的 数据 和 服务 的 情况 下 ,创建 并 管理 虚拟 机 
备份 ,并 在 这 些 备份 过 时 后 将 其 删除 。 可 以 根据 故障 虚拟 机 的 状态 选 定 虚 拟 机 的 存储 点 , 然 
后 将 该 虚拟 机 重新 写 人 目标 主机 或 资源 池 。 在 重 写 的 过 程 中 , 仅 改写 有 变动 的 数据 , 重 写 完 
后 该 虚拟 机 即 可 重新 启动 。 

(2) 网 络 虚拟 化 安全 

网 络 虚拟 化 安全 主要 通过 在 虚拟 化 网 络 内 部 加 载 安全 策略 ,增强 虚拟 机 之 间 以 及 虚拟 
机 与 外 部 网 络 之 间 通 信 的 安全 性 ,确保 在 共享 的 资源 池 中 的 信息 应 用 仍 能 遵从 企业 级 数据 
隐私 及 安全 要 求 。 

其 具体 安全 防护 要 求 如 下 : 

Q@ 利用 虚拟 机 平台 的 防火 墙 功能 ,实现 虚拟 环境 下 的 逻辑 分 区 边界 防护 和 分 段 的 集中 
管理 ,配置 允许 访问 虚拟 平台 管理 接口 的 IP 地 址 .协议 端口 和 最 大 访问 速率 等 参数 。 

利用 现 有 虚拟 基础 架构 容器 (主机 、 虚 拟 交换 机 和 VLAN) 作 为 逻辑 信任 分 区 或 组 织 
分 区 。 

定义 策略 以 在 分 区 边界 对 网 络 流量 进行 桥接 ,设置 防火 墙 保护 策略 并 加 以 隔离 。 

@ 虚拟 交换 机 应 启用 虚拟 端口 的 限 速 功能 ,通过 定义 平均 带宽 ,峰值 带宽 和 流量 突 发 
大 小 ,实现 端口 级 别 的 流量 控制 。 同 时 应 禁止 虚拟 机 端口 使 用 混杂 模式 进行 网 络 通信 嗅 探 。 

@ 对 虚拟 网 络 平台 的 重要 日 志 进 行 监视 和 审计 ,及 时 发 现 异 常 登录 和 操作 。 

@ 在 创建 客户 虚拟 机 的 同时 ,根据 具体 的 拓扑 和 可 能 的 通信 模式 ,在 虚拟 网 卡 和 虚拟 
交换 机 上 配置 防火 墙 , 提 高 客户 虚拟 机 的 安全 性 。 

(3) 存储 虚拟 化 安全 

存储 虚拟 化 通过 在 物理 存储 系统 和 服务 器 之 间 增 加 一 个 虚拟 层 , 使 物理 存储 虚拟 化 成 


242 


II 


Ap 


第 8 章 中 间 件 与 云 计算 安全 


逻辑 存储 ,使 用 者 只 访问 逻辑 存储 ,从 而 把 数据 中 心 异 构 的 存储 环境 整合 起 来 ,屏蔽 底层 硬 
件 的 物理 差异 ,向 上 层 应 用 提供 统一 的 存 取 访问 接口 。 虚 拟 化 的 存储 系统 应 具有 高 度 的 可 
靠 性 .可 扩展 性 和 高 性 能 ,能 有 效 提高 存储 容量 的 利用 率 ,简化 存储 管理 ,实现 数据 在 网 络 上 
共享 的 一 致 性 ,满足 用 户 对 存储 空间 的 动态 需求 。 

其 具体 安全 防护 要 求 如 下 。 

O@ 提供 磁盘 锁定 功能 ,确保 同一 虚拟 机 不 会 在 同一 时 间 被 多 个 用 户 打 开 。 

@ 提供 设备 元 余 功能 , 当 某 台 宿主 服务 器 出 现 故障 时 ,该 服务 器 上 的 虚拟 机 磁盘 锁定 
将 被 解除 ,以 允许 从 其 他 宿主 服务 器 重新 启动 这 些 虚拟 机 。 

@ 开启 多 个 虚拟 机 对 同一 存储 系统 的 并 发 读 / 写 功能 ,确保 安全 的 并 行 访问 。 

@ 提供 数据 存储 的 完 余 保护 ,用 户 数据 在 虚拟 化 存储 系统 中 的 不 同 物理 位 置 有 多 个 备 
份 , 应 不 少 于 两 个 ,并 对 用 户 透 明 。 

@ 虚拟 存储 系统 应 能 在 不 中 断 正常 存储 服务 的 前 提 下 实现 对 存储 容量 和 存储 服务 进 
行 任意 扩展 ,透明 地 添加 和 更 蔡 存 储 设备 ,并 具有 自动 发 现 \ 安 装 、 检 测 和 管理 不 同类 型 存储 
设备 的 能 力 。 

@ 虚拟 存储 系统 应 支持 按照 数据 的 安全 级 别 建立 容错 和 容 灾 机 制 ,以 克服 系统 的 误 操 
作 、 单 点 失效 和 意外 灾难 等 因素 造成 的 数据 损失 。 

(4) 业务 管理 平台 安全 

业务 管理 平台 指 的 是 支撑 IaaS 业务 提供 和 业务 运营 的 系统 ,其 既 可 由 虚拟 化 厂家 提 
供 ,也 可 由 第 三 方 厂家 提供 。 参 考 eTOM 以 及 TMEF 相关 标准 的 系统 架构 ,业务 管理 平台 功 
能 可 分 为 业务 规划 、 业 务 订购 、 业 务 开通 、 业 务 监视 、 业 务 保障 和 业务 计 费 等 。 业 务 管理 平台 
的 安全 性 直接 影响 着 IaaS 系统 能 否 安 全 ,稳定 地 运行 。 

业务 管理 平台 在 安全 管理 功能 方面 应 能 满足 如 下 要 求 : 

@ 具备 宿主 服务 器 资源 监控 能 力 , 可 实时 监控 宿主 服务 器 物理 资源 利用 情况 ,包括 
CPU 利用 率 、 内 存 利用 率 和 磁盘 使 用 情况 等 ,要 求 在 宿主 服务 器 出 现 性 能 瓶颈 ,如 CPU 利 
用 率 过 高 时 发 出 告警 。 

@ 具备 虚拟 机 性 能 监控 能 力 , 可 实时 监控 物理 机 上 各 虚拟 机 的 运行 情况 ,包括 VCPU 
利用 率 、 内 存 利用 率 和 磁盘 利用 率 等 ,要 求 在 虚拟 机 出 现 性 能 瓶颈 ,如 VCPU 利用 率 超 过 
90% 时 发 出 告 

@ 支持 设置 单一 虚拟 机 的 资源 限制 量 , 保 护 虚拟 机 的 性 能 不 因 其 他 虚拟 机 过 度 消耗 共 
享 硬件 上 的 太 多 资源 而 降低 。 在 虚拟 机 资源 分 配 时 ,应 充分 考虑 资源 预 留情 况 ,通过 设置 资 
源 预 留 和 限制 量 ,保护 虚拟 机 的 性 能 不 会 因 其 他 虚拟 机 过 度 消 耗 宿主 服务 器 硬件 资源 而 
降低 。 

在 业务 管理 平台 自身 安全 性 方面 ,应 能 满足 如 下 安全 要 求 : 

@ 业务 管理 平台 应 具备 高 可 靠 性 和 安全 性 ,具备 多 机 热 备 功能 和 快速 故障 恢复 
功能 。 

@ 对 管理 系统 本 身 的 操作 进行 分 权 、 分 级 管理 ,限定 不 同 级 别 的 用 户 能 够 访问 的 资源 
范围 和 人 允许 执行 的 操作 。 

@ 对 用 户 进行 严格 的 访问 控制 ,采用 最 小 授权 原则 ,分 别 授予 不 同 用 户 为 完成 各 自 承 
当 的 任务 所 需 的 最 小 权限 。 

@ 其 他 关于 业务 管理 平台 的 主机 、 管 理 终端 的 安全 防护 要 求 参见 8. 5.2 节 。 
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2. PaaS 核心 架构 安全 


PaaS 是 把 分 布 式 软件 的 开发 .测试 和 部 署 环 境 当 做 服务 ,通过 互联 网 提供 给 用 户 。 
PaaS 可 以 构建 在 IaaS 的 虚拟 化 资源 池上 ,也 可 以 直接 构建 在 数据 中 心 的 物理 基础 设施 之 
上 。PaaS 为 用 户 提供 了 包括 中 间 件 数据库、 操作 系统 和 开发 环境 等 在 内 的 软件 栈 , 人 允许 用 
户 通过 网 络 来 进行 应 用 的 远程 开发 .配置 和 部 署 ,并 最 终 在 服务 商 提 供 的 数据 中 心 内 运行 。 

如 何 采 用 合适 的 分 布 式 技术 解决 分 布 式 存 储 和 分 布 式 计算 问题 ,并 屏蔽 底层 复杂 的 分 
布 式 处 理 操作 ,把 简单 易 用 的 编程 接口 和 编程 模型 提供 给 用 户 , 是 PaaS 的 关键 技术 问题 。 
PaaS 同样 需要 构建 PaaS 运营 管理 系统 解决 用 户 管理 和 资源 管理 等 问题 ,在 某 些 情 况 下 ， 
PaaS 还 需要 整合 企业 的 其 他 平台 ,将 企业 特有 的 服务 能 力 通过 开发 接口 的 形式 向 开发 者 
开放 。 

1) PaaS 关键 技术 

PaaS 的 核心 技术 是 分 布 式 处 理 技术 ,主要 解决 云 计算 数据 中 心 大 规模 服务 器 群 的 协同 
工作 问题 ,由 分 布 式 文件 系统 、 分 布 式 计算 、 分 布 式 数 据 库 和 分 布 式 同步 机 制 4 部 分 组 成 。 

(1) 分 布 式 文件 系统 

分 布 式 文件 系统 是 分 布 式 计算 环境 的 基础 架构 之 一 , 它 把 分 散在 网 络 中 的 文件 资源 以 
统一 的 视点 呈现 给 用 户 , 简 化 了 用 户 访问 的 复杂 性 ,加 强 了 分 布 式 系统 的 可 管理 性 ,也 为 进 
一 步 开发 分 布 式 应 用 准备 了 条 件 。 分 布 式 文件 系统 建立 在 客户 机 /服务 器 技术 基础 之 上 ,由 
服务 器 与 客户 机 文件 系统 协同 操作 。 控 制 功能 分 散在 客户 机 和 服务 器 之 间 ,使 得 诸如 共享 、 
数据 安全 性 和 透明 性 等 在 集中 式 文件 系统 中 很 容易 处 理 的 事情 变 得 相当 复杂 。 文 件 共享 可 
分 为 读 共 享 ,顺序 写 共 享 和 并 发 写 共享 。 在 分 布 式 文件 系统 中 ,顺序 写 需要 解决 共享 用 户 的 
同一 视点 问题 ,并 发 写 则 需要 考虑 中 间 搬 人 更 新 导致 的 一 致 性 问题 。 

以 Google GFS 和 Hadoop HDFS 为 代表 的 分 布 式 文件 系统 是 符合 PaaS 要 求 的 典型 分 
布 式 文件 系统 设计 。 系 统 由 一 台 主 服务 器 和 多 台 块 服务 器 构成 ,被 多 个 客户 端 访问 ,文件 以 
固定 尺寸 的 数据 块 形式 分 散 存储 在 块 服务 器 中 。 主 服务 器 是 分 布 式 文件 系统 中 最 主要 的 环 
节 , 它 管理 着 文件 系统 所 有 的 元 数据 ,包括 名 字 空 间 、 访 问 控制 信息 、 文 件 到 块 的 映射 信息 和 
文件 块 的 位 置信 息 等 ,还 管理 着 系统 范围 的 活动 ,如 块 租用 管理 ,孤儿 块 的 垃圾 回收 以 及 块 
在 块 服务 器 间 的 移动 。 块 服务 器 负责 具体 的 数据 存储 和 读 取 。 主 服务 器 通过 心跳 信息 周期 
性 地 与 每 个 块 服务 器 通信 ,给 它们 指示 并 收集 其 状态 ,通过 这 种 方式 系统 可 以 迅速 感知 服务 
器 的 增 减 和 组 件 的 失效 ,从 而 解决 扩展 性 和 容错 能 力 问 题 。 

客户 端 被 艇 到 每 个 程序 里 ,实现 文件 系统 的 API, 帮 助 应 用 程序 与 主 服务 器 和 块 服务 器 
通信 ,对 数据 进行 读 / 写 。 客 户 端 不 通过 主 服务 器 读 取 数 据 , 它 从 主 服 务 器 获取 目标 数据 块 
的 位 置信 息 后 ,直接 和 块 服务 器 交互 进行 读 操 作 ,避免 大 量 读 / 写 主 服务 器 而 形成 系统 性 能 
瓶颈 。 在 进行 追加 操作 时 ,数据 流 和 控制 流 被 分 开 。 客 户 端 向 主 服务 器 申请 租约 ,获取 主 块 
的 标识 符 以 及 其 他 副本 的 位 置 后 ,直接 将 数据 推送 到 所 有 的 副本 上 ,由 主 块 控制 和 同步 所 有 
副本 间 的 写 操作 。 

(2) 分 布 式 数据 库 

分 布 式 数据 库 (Distributed Database System,DDBS) 是 一 组 结构 化 的 数据 集 ,逻辑 上 属 
于 同一 系统 ,而 物理 上 分 散在 用 计算 机 网 络 连接 的 多 个 场地 上 ,并 统一 由 一 个 分 布 式 数 据 库 
管理 系统 进行 管理 。 与 集中 式 或 分 散 数据 库 相 比 ,分布 式 数据 库 具 有 可 靠 性 高 .模块 扩展 容 
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易 、 响 应 延迟 小 、 负 载 均衡 和 容错 能 力 强 等 优点 。 在 银行 等 大 型 企业 ,分 布 式 数据 库 系统 被 
广泛 使 用 。 分 布 式 数 据 库 仍 处 于 研究 和 发 展 阶段 ,目前 还 没有 统一 的 标准 。 

以 Google BigTable 和 Hadoop Hbase 为 代表 的 分 布 式 数据 库 是 符合 云 计算 基础 架构 
要 求 的 典型 分 布 式 数据 库 , 可 以 存储 和 管理 大 规模 结构 化 数据 ,具有 良好 的 可 扩展 性 ,可 部 
署 在 上 千 台 廉价 服务 器 上 ,存储 PB 级 别 的 数据 。 这 种 类 型 的 数据 库 通 常 不 提供 完整 的 关系 
数据 模型 ,而 只 提供 简单 的 数据 模型 ,使 得 客户 端 可 以 动态 控制 数据 的 布局 和 格式 。 

BigTable 和 Hbase 采取 了 基于 列 的 数据 存储 方式 ,数据 库 本 身 是 一 张 稀 朴 的 多 维度 映 
射 表 ,以 行列 和 时 间 戳 作为 索引 ,每 个 值 都 是 未 作 解 释 的 字 节 数组 。 在 行 关 键 字 下 的 每 个 
读 / 写 操作 都 是 原子 性 的 ,不 管 读 / 写 行 中 有 多 少 不 同 的 列 。BigTable 通过 行 关键 字 的 字典 
序 来 维护 数据 ,一 张 表 可 动态 划分 成 多 个 连续 行 ,连续 行 称 为 Tablet, 它 是 数据 分 布 和 负载 
均衡 的 基本 单位 。BigTable 把 列 关键 字 分 成 组 ,每 组 为 一 个 列 族 , 列 族 是 BigTable 的 基本 
访问 控制 单元 。 通 常 同 一 列 族 下 存放 的 数据 具有 相同 的 类 型 。 在 创建 列 关键 字 存放 数据 之 
前 ,必须 先 创建 列 族 。 在 一 张 表 中 列 族 的 数量 不 能 太 多 , 列 的 数量 则 不 受 限 制 。BigTable 表 
项 可 以 存储 不 同 版 本 的 内 容 , 用 时 间 戳 来 索引 ,按时 间 戳 倒序 排列 。 

分 布 式 数据 库 通 常 建立 在 分 布 式 文件 系统 之 上 ,BigTable 使 用 Google 分 布 式 文件 系统 
来 存储 日 志和 数据 文件 。BigTable 采用 SSTable 格式 存储 数据 ,后 者 提供 永久 存储 的 有 序 
的 ,不 可 改写 的 关键 字 到 值 的 映射 ,以 及 相应 的 查询 操作 。 此 外 ,BigTable 还 使 用 分 布 式 锁 
服务 Chubby 来 解决 一 系列 问题 ,例如 : 保证 任何 时 间 最 多 只 有 一 个 活跃 的 主 备份 ;存储 
BigTable 数据 的 启动 位 置 ;发 现 Tablet 服务 器 ;存储 BigTable 模式 信息 和 访问 权限 等 。 
BigTable 系统 架构 如 图 8. 20 所 示 。 


| Head node “| 一- 一 一 一 Chubby server 


Tablet server Tablet server 


ogieal | Tablet | [ Tablet Tablet Tablet | | Tablet | | Tablet 
| 
GFS Chunkserver GFS Chunkserver 
Physical 1 | 1 
layout |SSTable | | SSTable | | SSTable SSTable | | SSTable | | SSTable 
(replica) (replica) 
SSTable SSTable 


图 820 ”BigTable 系统 架构 


BigTable 由 客户 程序 库 一 台 主 服务 器 (master) 和 多 台子 表 服 务 器 (Tablet server) 组 
成 。 主 服务 器 负责 给 子 表 服 务 器 指派 子 表 ,检测 加 入 或 失效 的 子 表 服 务 器 ,在 子 表 服 务 器 间 
进行 负载 均衡 ,对 文件 系统 进行 垃圾 收集 ,以 及 处 理 诸如 建 表 和 列 族 之 类 的 表 模 式 更 改 工 
作 。 子 表 服 务 器 负责 管理 一 个 子 表 集 合 , 处 理 对 子 表 的 读 / 写 操作 及 分 割 维护 等 。 客 户 数据 
不 经 过 主 服务 器 ,而 是 直接 与 子 表 服务 器 交互 ,避免 了 对 主 服务 器 的 频繁 读 / 写 造 成 的 性 能 

颈 。 为 提升 系统 性 能 ,BigTable 还 采用 了 压缩 、 缓 存 等 一 系列 技术 。 
(3) 分 布 式 计算 
分 布 式 计算 是 让 多 个 物理 上 独立 的 组 件 作为 一 个 单独 的 系统 协同 工作 ,这 些 组 件 可 能 
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指 多 个 CPU ,或 者 网 络 中 的 多 台 计算 机 。 它 作 了 如 下 假定 : 如 果 1 台 计 算 机 能 够 在 5 秒 钟 
内 完成 一 项 任务 ,那么 5 台 计算 机 以 并 行 方式 协同 工作 时 就 能 在 1 秒 钟 内 完成 。 实 际 上 ,由 
于 协同 设计 的 复杂 性 ,分 布 式 计算 并 不 都 能 满足 这 一 假设 。 对 于 分 布 式 编程 而 言 ,核心 的 问 
题 是 如 何 把 一 个 大 的 应 用 程序 分 解 成 若干 可 以 并 行 处 理 的 子 程序 。 有 两 种 可 能 的 处 理 方 
法 : 一 种 是 分 割 计 算 , 即 把 应 用 程序 的 功能 分 割 成 若干 个 模块 ,由 网 络 上 的 多 台 机 器 协同 完 
成 ; 另 一 种 是 分 割 数据 , 即 把 数据 集 分 割 成 小 块 ,由 网 络 上 的 多 台 计 算 机 分 别 计算 。 对 于 海 
量 数据 分 析 等 计算 密集 型 问题 ,通常 采取 分 割 数据 的 分 布 式 计算 方法 ,对 于 大 规模 分 布 式 系 
统 则 可 能 同时 采取 这 两 种 方法 。 

分 割 数 据 的 分 布 式 计算 模型 把 需要 进行 大 量 计算 的 数据 分 割 成 小 块 ,由 网 络 上 的 多 台 
计算 机 分 别 计算 ,然后 对 结果 进行 组 合 得 出 数据 结论 。Google 针对 其 内 部 大 规模 数据 密集 
型 应 用 提出 的 分 布 式 编程 模型 MapReduce 是 这 类 分 布 式 计算 模型 的 典范 ,在 云 计算 领域 被 
广泛 采用 。 

MapReduce 提供 了 泛 函 编程 的 一 个 简化 版 本 。 与 传统 编程 模型 中 函数 参数 只 能 代表 
一 个 明确 的 数 或 数 的 集合 不 同 , 泛 函 编 程 模型 中 的 函数 参数 能 够 代表 一 个 函数 ,这 使 得 泛 函 
编程 模型 的 表达 能 力 和 抽象 能 力 更 高 。 它 隐藏 了 并 行 化 容错、 数据 分 布 和 负载 均衡 等 复杂 
的 分 布 式 处 理 细节 ,提供 简单 有 力 的 接口 来 实现 自动 的 并 行 化 和 大 规模 分 布 式 计算 ,从 而 在 
大 量 普 通 PC 上 实现 高 性 能 计算 。 

在 MapReduce 模型 中 ,输入 数据 和 输出 结果 都 被 视 为 由 一 系列 键 / 值 对 组 成 的 集合 。 
用 户 指定 Map 函数 对 输入 键 / 值 集 进行 处 理 , 形 成 中 间 形 式 的 键 / 值 集 ;MapReduce 库 按 照 
键 值 把 中 间 形 式 的 值 集中 起 来 , 传 给 用 户 指定 的 Reduce 函数 ;Reduce 函数 把 具有 相同 键 的 
值 合并 在 一 起 ,最终 输 出 一 系列 键 / 值 对 。MapReduce 执行 过 程 如 图 8. 21 所 示 。 
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(CDfork 一 ANOD fork 


7 1(1) fork\、 
~ 1 \ 
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/ assign 2 \ 
map ,7 ~、 assign \ 
/ J Mraduea \ 


ee AN 
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、 
Da ~ ‘workier output 
split4 Ne. fil 
el 
AN 下 
Ce) -| ee 


Input Map Intermediate files Reduce Output 
files phase (on local disks) phase files 


图 821 MapReduce 执 行 过 程 


MapReduce 模型 具有 很 强 的 容错 性 , 当 某 一 worker 节点 出 现 错误 时 ,该 worker 执行 的 
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程序 将 被 迁移 到 其 他 worker 重新 执行 ,Master 还 将 把 迁移 信息 发 送 给 需要 该 节点 处 理 结 
果 的 节点 。 此 外 ,MapReduce 通过 设置 检查 点 来 处 理 Master 失效 的 问题 , 当 Master 出 现 错 
误 时 ,可 以 根据 最 近 的 一 个 检查 点 重新 选择 一 个 节点 作为 Master, 并 由 此 检查 点 位 置 继续 
运行 。 

MapReduce 编程 模型 已 被 许多 系统 成 功 运用 , 它 使 用 简单 ,隐藏 了 并 行 化 、 容 错 、 位 置 
优化 和 负载 均衡 等 细节 。 大 量 不 同 的 问题 ,都 可 以 用 MapReduce 计算 来 表达 ,如 Web 搜 
索 、 排 序数 据 挖掘 和 机 器 学 习 等 。 目 前 ,大 多 数 企业 的 云 计 算 平台 都 采用 了 MapReduce 分 
布 式 编程 模型 。 

(4) 分 布 式 同 步 技术 

在 分 布 式 系统 中 ,对 共享 资源 的 并 行 操作 可 能 会 引起 丢失 修改 . 读 及 数据 和 不 可 重复 读 
等 数据 不 一 致 问题 ,这 时 需要 引入 同步 机 制 ,控制 进程 的 并 发 操作 。 

对 于 由 大 规模 廉价 服务 器 群 构成 的 云 计 算数 据 中 心 而 言 , 分 布 式 同 步 机 制 是 开展 一 切 
上 层 应 用 的 基础 ,是 系统 正确 性 和 可 靠 性 的 基本 保证 。Google Chubby 和 Hadoop 
ZooKeeper 是 云 基础 架构 分 布 式 同步 机 制 的 典型 代表 ,用 于 协调 系统 各 部 件 ,其 他 分 布 式 系 
统 可 以 用 它 来 同步 访问 共享 资源 。 

Chubby 是 一 个 针对 松散 耦合 分 布 式 系统 的 锁 服 务 ,提供 开发 人 员 常用 的 加 解锁 功能 ， 
解决 分 布 一 致 性 问题 。 它 本 身 是 一 个 分 布 式 文件 系统 ,客户 端 可 以 在 其 上 创建 文件 和 执行 
一 些 基 本 的 文件 操作 。 在 Chubby 中 ,一 个 锁 就 是 一 个 文件 ,创建 文件 就 是 进行 加 锁 操 作 ， 
文件 创建 成 功 ,意味 着 加 锁 成 功 ,用 户 通过 打开 、 关 闭 和 读 取 文件 ,获取 共享 锁 或 者 独占 锁 。 

Chubby 的 基本 设计 目标 是 高 可 用 性 和 可 靠 性 ,对 于 性 能 .吞吐 量 和 存储 容量 并 没有 过 
多 的 要 求 。Chubby 提供 了 一 种 基于 分 布 式 文件 系统 实现 的 锁 机 制 ,解决 松散 耦合 系统 中 的 
分 布 式 一 致 性 问题 。 它 还 可 以 作为 名 字 服 务 和 配置 信息 仓库 。 

2) PaaS 核心 架构 安全 防护 

PaaS 云 服 务 把 分 布 式 软件 开发 .测试 和 部 署 环境 当做 服务 提供 给 应 用 程序 开发 人 员 ， 
分 布 式 环境 成 为 服务 提供 的 内 容 。 因 此 ,要 开展 PaaS 云 服 务 ,首先 需要 在 云 计 算数 据 中 心 
架设 分 布 式 处 理 平台 ,包括 作为 基础 存储 服务 的 分 布 式 文件 系统 和 分 布 式 数据 库 、 为 大 规模 
应 用 开发 提供 的 分 布 式 计算 模式 ,以 及 作为 底层 服务 的 分 布 式 同步 设施 。 其 次 ,需要 对 分 布 
式 处 理 平台 进行 封装 ,使 之 能 够 方便 地 为 用 户 所 用 ,包括 提供 简易 的 软件 开发 环境 SDK , 提 
供 简单 的 API 编程 接口 ,提供 软件 编程 模型 和 代码 库 等 。 

对 PaaS 来 说 ,数据 安全 、 数 据 与 计算 可 用 性 、 针 对 应 用 程序 的 攻击 是 主要 的 安全 问题 。 

(1) 分 布 式 文件 安全 

基于 云 数据 中 心 的 分 布 式 文件 系统 构建 在 大 规模 廉价 服务 器 群 上 ,面临 以 下 一 些 挑 战 : 

@ 服务 器 等 组 件 的 失效 现象 将 经 常 出 现 , 需 解决 系统 的 容错 问题 。 

@ 提供 海量 数据 的 存储 和 快速 读 取 。 

图 多 用 户 同时 访问 文件 系统 , 需 解决 并 发 控制 和 访问 效率 问题 。 

@ 服务 器 增 减 频繁 , 需 解决 动态 扩展 问题 。 

@ 需 提供 类 似 传 统 文件 系统 的 接口 以 兼容 上 层 应 用 开发 ,支持 创建 删除、 打开、 关闭 
和 读 / 写 文件 等 常用 操作 。 

为 了 提高 分 布 式 文件 系统 的 健壮 性 和 可 靠 性 ,当前 的 主流 分 布 式 文件 系统 ,如 Google 
GFS 和 Hadoop HDFS 等 ,通过 设置 辅助 主 服 务 器 (secondary master) 作 为 主 服 务 器 的 备 
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份 ,以 便 在 主 服务 器 故障 停机 时 迅速 恢复 。 系 统 采取 宛 余 存储 的 方式 来 保证 数据 的 可 靠 性 ， 
每 份 数据 在 系统 中 保存 3 个 以 上 的 备份 。 为 保证 数据 的 一 致 性 ,对 数据 的 所 有 修改 需要 在 
所 有 的 备份 上 进行 ,并 用 版 本 号 的 方式 来 确保 所 有 备份 处 于 一 致 的 状态 。 

与 传统 分 布 式 文件 系统 相 比 , 云 基础 架构 的 分 布 式 文件 系统 在 设计 理念 上 更 多 地 考虑 
了 机 器 的 失效 问题 ,系统 的 可 扩展 性 和 可 靠 性 问题 , 它 弱 化 了 对 文件 追加 的 一 致 性 要 求 , 强 
调 客户 机 的 协同 操作 。 这 种 设计 理念 更 符合 云 计 算数 据 中 心 由 大 量 廉价 PC 服务 器 构成 的 
特点 ,为 上 层 分 布 式 应 用 提供 了 更 高 的 可 靠 性 保证 。 

另外 ,在 数据 安全 性 方面 ,需要 考虑 数据 的 私有 性 和 冲突 时 的 数据 恢复 。 透 明 性 要 求 文 
件 系 统 提供 给 用 户 的 界面 是 统一 完整 的 ,至 少 需要 保证 位 置 透明 、 并 发 访问 透明 和 故障 透 
明 。 此 外 ,扩展 性 也 是 分 布 式 文件 系统 需要 重点 考虑 的 问题 ,增加 或 减少 服务 器 时 ,分 布 式 
文件 系统 应 能 自动 感知 ,而且 不 对 用 户 造成 任何 影响 。 

(2) 分 布 式 数据 库 安全 

基于 云 计 算数 据 中 心 大 规模 廉价 服务 器 群 的 分 布 式 数据 库 同 样 面临 以 下 挑战 : 

@ 组 件 的 失效 问题 ,要 求 系统 具备 良好 的 容错 能 力 。 

四 海量 数据 的 存储 和 快速 检索 能 力 。 

@ 多 用 户 并 发 访问 问题 。 

@ 服务 器 频繁 增 减 导 致 的 可 扩展 性 问题 。 

对 分 布 式 数据 库 来 说 ,数据 宛 余 、 并 行 控制 ,分 布 式 查询 和 可 靠 性 等 是 设计 时 需 主要 考 
虑 的 问题 。 

数据 元 余 是 分 布 式 数据 库 区别 于 其 他 数据 库 的 主要 特征 之 一 , 它 保证 了 分 布 式 数据 库 
的 可 靠 性 ,同时 也 是 并 行 的 基础 。 数 据 元 余 有 两 种 类 型 : 复制 型 数据 库 , 局 部 数据 库存 储 的 
数据 是 对 总 体 数据 库 全 部 或 部 分 的 复制 ;分 割 型 数据 库 ,数据 集 被 分 割 后 存储 在 每 个 局 部 数 
据 库 里 。 宛 余 保 证 了 数据 的 可 靠 性 ,但 也 带 来 了 数据 一 致 性 问题 。 

由 于 同一 数据 的 多 个 副本 被 存储 在 不 同 的 节点 里 ,对 数据 进行 修改 时 , 须 确保 数据 所 有 
的 副本 都 被 修改 。 这 时 ,需要 引入 分 布 式 同步 机 制 对 并 发 操作 进行 控制 ,最 常用 的 方式 是 分 
布 式 锁 机 制 以 及 冲突 检测 。 

在 分 布 式 数据 库 中 ,由 于 节点 间 的 通信 使 得 查询 处 理 的 时 延 大 , 另 一 方面 各 节点 具有 独 
立 的 计算 能 力 , 又 使 并 行 处 理 查询 请 求 具有 可 行 性 。 因 此 ,对 分 布 式 数据 库 而 言 , 分 布 式 查 
询 或 称 并 行 查询 是 提升 查询 性 能 的 最 重要 手段 。 可 靠 性 是 衡量 分 布 式 数 据 库 优 劣 的 重要 指 
标 , 当 系统 中 的 个 别 部 分 发 生 故 障 时 ,可靠 性 要 求 对 数据 库 应 用 的 影响 不 大 或 者 无 影响 。 

(3) 用 户 接口 和 应 用 安全 

对 于 PaaS 服务 来 说 , 它 使 客户 能 够 将 自己 创建 的 某 类 应 用 程序 部 署 到 服务 器 端 运 行 ， 
并 且 人 允许 客户 端 对 应 用 程序 及 其 计算 环境 配置 进行 控制 。 因 为 来 自 客户 端的 代码 可 能 是 恶 
意 的 ,如 果 PaaS 服务 暴露 过 多 的 接口 ,可 能 会 给 攻击 者 带 来 机 会 。 比 如 ,用 户 可 能 会 提交 一 
段 恶意 代码 ,这 段 代 码 可 能 恶意 抢占 CPU 时 间 内存 空间 和 其 他 资源 ,也 可 能 会 攻击 其 他 用 
户 ,甚至 可 能 会 攻击 提供 运行 环境 的 底层 平台 。 

在 用 户 接口 方面 ,包括 提供 代码 库 、 编 程 模型 、 编 程 接口 和 开发 环境 等 。 代 码 库 封装 平 
人 台 的 基本 功能 ,如 存储 、 计 算 、 数 据 库 等 ,供用 户 开发 应 用 程序 时 使 用 。 编 程 模型 决定 了 用 户 
基于 云 平台 开发 的 应 用 程序 类 型 , 它 取决 于 平台 选择 的 分 布 式 计算 模型 。 

对 于 PaaS 服务 来 说 ,编程 模型 对 用 户 必 须 是 清晰 的 ,用 户 应 当 很 明确 基于 这 个 云 平 台 可 
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以 解决 什么 类 型 的 问题 ,以 及 如 何 解决 这 种 类 型 的 问题 。PaaS 提供 的 编程 接口 应 该 是 简单 的 、 
易于 掌握 的 ,过 于 复杂 的 编程 接口 会 降低 用 户 将 现 有 应 用 程序 迁移 至 云 平台 ,或 基于 云 平台 开 
发 新 型 应 用 程序 的 积极 性 。 提 供 开发 环境 SDK 对 运营 PaaS 来 说 不 是 必需 的 ,但 是 ,一 个 简单 、 
完整 的 SDK 有 助 于 开发 者 在 本 机 开发 和 测试 应 用 程序 ,从 而 简化 开发 工作 ,缩短 开发 流程 。 
GAE 和 Azure 等 著名 的 PaaS 平台 都 为 开发 者 提供 了 基于 各 自 云 平台 的 开发 环境 。 

在 运营 管理 方面 ,PaaS 运行 在 云 数据 中 心 ,用户 基 于 PaaS 云 平台 开发 的 应 用 程序 最 终 
也 将 在 云 数据 中 心 部 署 运营 。PaaS 运营 管理 系统 需 解决 用 户 应 用 程序 运营 过 程 中 所 需 的 
存储 ,计算 、 网 络 基础 资源 的 供给 和 管理 问题 , 需 根据 应 用 程序 实际 运行 情况 动态 增加 或 减 
少 运行 实例 。 为 保证 应 用 程序 的 可 靠 运行 ,系统 还 需要 考虑 不 同 应 用 程序 间 的 相互 隔离 问 
题 , 可 以 引入 沙 箱 隔离 技术 ,让 它们 在 安全 的 沙 箱 环境 中 可 靠 运行 ,防止 其 影响 到 PaaS 底层 
承载 平台 或 系统 。 

另外 ,从 技术 层面 上 说 ,目前 PaaS 对 底层 资源 的 调度 和 分 配 机 制 设 计 方面 还 有 所 不 足 ， 
PaaS 应 用 基本 是 采用 尽力 而 为 的 方式 来 使 用 系统 的 底层 计算 处 理 资源 。 如 果 同 一 平台 
同时 运行 多 个 应 用 , 则 会 在 优化 多 个 应 用 的 资源 分 配 和 优先 级 配置 方面 无 能 为 力 。 要 解决 
这 个 问题 ,需要 借助 更 底层 的 资源 分 配 机 制 ,如 将 PaaS 应 用 承载 在 虚拟 化 平台 上 ,借助 虚拟 
化 平台 的 资源 调度 机 制 来 实现 多 个 PaaS 应 用 的 资源 调度 、SLA 等 。 


3.SaaS 核心 架构 安全 


SaaS 作为 云 计算 的 一 种 服务 类 型 ,是 一 种 基于 互联 网 来 提供 软件 服务 的 应 用 模式 , 它 
通过 浏览 器 把 服务 器 端的 程序 软件 传 给 千 万 用 户 ,供用 户 在 线 使 用 。SaaS 提供 商 为 用 户 搭 
建 信息 化 所 需要 的 所 有 网 络 基 础 设施 及 软 硬 件 运 作 平 台 , 并 负责 所 有 前 期 的 实施 、 后 期 的 维 
护 等 一 系列 服务 。 而 用 户 则 根据 自己 的 实际 需要 ,向 SaaS 提供 商 租赁 软件 服务 ,无 须 购买 
软 硬 件 、 建 设 机 房 和 招聘 IT 人员, 即 可 通过 互联 网 使 用 信息 服务 。 

SaaS 的 实现 方式 主要 有 两 种 。 一 种 是 通过 PaaS 平台 来 开发 SaaS,PaaS 平台 提供 了 一 
些 开 发 应 用 程序 的 环境 和 工具 ,可 以 在 线 直 接 使 用 它们 来 开发 SaaS 应 用 。 例 如 ,salesforce. 
com 推出 的 Force. com 平台 提供 了 对 SaaS 构架 的 完整 支持 ,包括 对 象 .表单 和 工作 流 的 快 
速配 置 ,开发 人 员 可 以 很 快 地 创建 并 发 布 SaaS 服务 。 另 一 种 是 采用 多 用 户 构架 和 元 数据 开 
发 模式 ,使 用 Web 2.0、Struts 和 Hibernate 等 技术 来 实现 SaaS 中 各 层 的 功能 。 

1) SaaS 关键 技术 

本 节 主 要 介绍 多 租户 架构 和 元 数据 开发 模式 的 在 线 软件 技术 ,包括 Web 2.0 等 。 

(1) 多 租户 架构 (multi-tenancy) 

多 租户 架构 是 一 种 软件 开发 架构 ,采用 这 种 方式 开发 的 应 用 软件 ,一 个 实例 可 以 同时 处 
理 多 个 用 户 的 请 求 。 作 为 SaaS 的 核心 技术 之 一 ,不 同 的 机 构 从 不 同 的 角度 对 其 进行 了 定 
义 。Salesforce. com 认为 多 租户 架构 是 一 种 应 用 模型 ,所 有 的 用 户 和 应 用 共享 一 个 单独 的 
通用 的 基础 结构 和 相同 的 代码 。 

实现 多 租户 架构 的 关键 是 解决 数据 存储 的 问题 ,保证 不 同 租户 之 间 数 据 和 配置 的 隔离 ， 
以 保证 每 个 租户 数据 的 安全 与 隐私 。 目 前 ,在 SaaS 设计 中 多 租户 架构 在 数据 存储 上 主要 有 
3 种 解决 方案 。 

@ 独立 数据 库 

每 个 客户 的 数据 单独 存放 在 一 个 独立 数据 库 , 从 而 实现 数据 隔离 。 在 应 用 这 种 数据 模 
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型 的 SaaS 系统 中 ,客户 共享 大 部 分 系统 资源 和 应 用 代码 ,但 物理 上 有 单独 存放 的 一 整套 数 
据 。 系 统 根据 元 数据 来 记录 数据 库 与 客户 的 对 应 关系 ,并 部 署 一 定 的 数据 库 访 问 策略 来 确 
保 客 户 数据 安全 。 这 种 方法 简单 便捷 ,能 够 很 好 地 满足 用 户 的 个 性 化 需求 ,数据 隔离 级 别 
高 ,安全 性 好 ,但 是 成 本 和 维护 费用 高 ,因此 适合 那些 对 安全 性 要 求 比 较 高 的 客户 ,例如 银行 
和 医院 等 。 

@ 共享 数据 库 单独 模式 

客户 使 用 同一 数据 库 , 但 各 自 拥 有 一 套 不 同 的 数据 表 组 合 存在 于 其 单独 的 模式 之 内 。 
当 客 户 第 一 次 使 用 SaaS 系统 时 ,系统 在 创建 用 户 环境 时 会 创建 一 整套 默认 的 表 结 构 ,并 将 
其 关联 到 客户 的 独立 模式 。 这 种 方式 在 数据 共享 和 隔离 之 间 获 得 了 一 定 的 平衡 , 既 借 由 数 
据 库 共享 使 得 一 台 服 务 器 就 可 以 支持 更 多 的 客户 ,又 在 物理 上 实现 了 一 定 程度 的 数据 隔离 
以 确保 数据 安全 。 其 不 足 之 处 是 当 出 现 故障 时 数据 恢复 比较 困难 。 

@ 共享 数据 库 共 享 模式 

用 一 个 数据 库 和 一 套数 据 表 来 存放 所 有 客户 的 数据 。 在 这 种 模式 下 ,一 个 数据 表 内 可 
以 包含 多 个 客户 的 记录 ,由 一 个 客户 ID 字段 来 确认 哪 条 记录 是 属于 哪个 客户 的 。 这 种 方案 
共享 程度 最 高 ,支持 的 客户 数量 最 多 ,维护 和 购置 成 本 也 最 低 , 但 隔离 级 别 也 最 低 。 如 果 
SaaS 服务 供应 商 需 要 使 用 尽量 少 的 服务 器 资源 来 服务 尽 可 能 多 的 客户 ,而 且 潜在 客户 愿意 
在 一 定 程度 上 放弃 对 数据 隔离 的 需求 来 获得 尽 可 能 低廉 的 服务 价格 ,这 种 共享 模式 是 非常 
适合 的 。 

(2) 元 数据 开发 模式 

SaaS 主要 用 元 数据 的 开发 模式 来 实现 软件 的 可 配置 性 。 元 数据 开发 模式 与 多 租户 架 
构 和 Struts 技术 相配 合 ,能 很 好 地 解决 软件 扩展 性 、 可 配置 性 以 及 多 用 户 效率 问题 。 整 个 应 
用 程序 由 元 数据 (metadata) 来 描述 ,元 数据 就 是 命令 指示 ,描述 了 应 用 程序 如 何 运 行 的 各 个 
方面 。 如 果 客 户 想 定制 应 用 程序 ,可 以 创建 及 配置 新 的 元 数据 ,以 描述 新 的 屏幕 数据 \ 数 据 
库 字 段 或 所 需 行为 。 

元 数据 以 非特 定语 言 的 方式 描述 在 代码 中 定义 的 每 一 类 型 和 成 员 。 它 可 能 存储 以 下 信 
息 : 程序 集 的 说 明 、 标 识 ( 名 称 、 版 本 、 区 域 性 、 公 钥 ), 导 出 的 类 型 ,依赖 的 其 他 程序 集 ,运行 
所 需 的 安全 权限 ,类 型 的 说 明 、 名 称 、 可 见 性 、 基 类 和 实现 的 接口 成 员 (方法 .字段 .属性 、 事 
件 \ 嵌 套 的 类 型 )、 属 性 ,修饰 类 型 和 成 员 的 其 他 说 明 性 元 素 等 。 使 用 元 数据 开发 模式 ,可 以 
提高 应 用 程序 开发 人 员 的 生产 效率 ,提高 程序 的 可 靠 性 .具有 良好 的 功能 扩展 性 。 

作为 描述 数据 的 数据 ,元 数据 是 一 种 对 信息 资源 进行 有 效 组 织 、 管 理 和 利用 的 基础 和 工 
具 。 在 SaaS 模式 的 服务 行业 中 ,元 数据 有 着 广泛 应 用 ,例如 ,Salesforce. com 通过 采用 元 数 
据 的 开发 模式 ,把 应 用 程序 的 基本 功能 (选项 卡 、 链 接 等 ) 以 元 数据 的 形式 存储 在 数据 库 中 ， 
这 样 当 用 户 在 SaaS 平台 上 选择 自己 的 配置 时 ,SaaS 系统 就 会 根据 用 户 的 设置 ,把 相应 的 元 
数据 组 合并 呈现 在 用 户 的 界面 上 。 

(3) Web 2.0 

Web 2.0 是 2004 年 在 O’Reilly Media 公司 和 MediaLive 公司 举行 的 一 次 会 议 上 提出 
的 。 对 于 Web 2.0, 业 界 并 没有 一 个 明确 的 定义 。 它 包含 了 两 个 方面 的 含义 : 

a 它 并 不 是 一 个 具体 的 事物 ,而 是 一 个 阶段 ,是 由 Web 1. 0 单纯 通过 网 络 浏览 器 浏览 
HTML 网 页 模式 向 内 容 更 丰富 、 联 系 更 紧密 、 工 具 性 更 强 的 互联 网 模式 发 展 的 一 个 阶段 。 

@ 它 是 促成 这 个 阶段 的 过 程 中 各 种 技术 和 相关 互联 网 应 用 的 一 个 总 称 。 因 此 ,Web 2.0 
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也 被 认为 是 以 Flickr、Craigslist linkedIn .Tribes、Del. icio. us 和 43things. com 等 网 站 为 代 
表 , 以 Blog、tag、SNS、RSS 和 Wiki 等 应 用 为 核心 ,依据 六 度 分 割 .XML 和 Ajax 等 新 理论 和 
技术 实现 的 新 一 代 互 联网 模式 。 作 为 新 一 代 的 互联 网 技术 的 Web 2. 0 可 以 用 来 实现 SaaS 
界面 层 的 功能 。 

Ajax、Blog、Wiki、RSS 和 P2P 是 Web 2.0 中 被 广泛 采用 的 技术 。Ajax(Asynchronous 
JavaScript and XML ,异步 JavaScript 和 XML) 是 一 种 创建 交互 式 网 页 应 用 的 网 页 开发 技 
术 , 它 采用 远程 脚本 调用 技术 ,通过 JavaScript 语言 与 XMLHttpRequest 对 象 来 实现 数据 请 
求 ,将 处 理由 服务 器 转移 到 客户 端 ,减少 了 服务 器 的 资源 占用 ,加 快 了 数据 处 理 的 速度 。 
Blog( 网 络 日 志 ) 是 一 种 新 的 网 络 信息 发 布 方式 ,简单 易 用 ,在 隐 性 知识 的 挖掘 和 共享 上 有 重 
要 意义 。Wiki 包含 一 套 能 简易 创造 改变 HTML 网 页 的 系统 ,容许 任何 造访 网 站 的 人 能 快 
速 轻易 地 加 入 、 删 除 和 编辑 所 有 的 内 容 。RSS(Really Simple Syndication) 是 一 种 描述 和 同 
步 网 站 内 容 的 格式 ,包含 了 一 套用 于 描述 Web 内 容 的 元 数据 规范 ,能 够 实现 内 容 整 合 者 、 内 
容 提 供 商 和 最 终 用 户 之 间 的 Web 内 容 的 互动 。P2P 使 得 人 们 可 以 直接 连接 到 其 他 用 户 的 
计算 机 以 交换 文件 ,而 不 用 像 过 去 那样 连接 到 服务 器 去 浏览 与 下 载 。 

2) SaaS 核心 架构 安全 防护 

由 于 SaaS 服务 端 暴露 的 接口 相对 有 限 , 并 处 于 软件 栈 的 顶端 , 即 系 统 安全 权限 最 低 之 
处 ,因此 一 般 不 会 给 其 所 处 的 软件 栈 层 次 以 下 的 更 高 系统 安全 权限 层次 带 来 新 的 安全 问题 。 

对 于 SaaS 服务 而 言 ,SaaS 底层 架构 安全 的 关键 在 于 如 何 解决 多 租户 共享 情况 下 的 数 
据 安 全 存储 与 访问 问题 , 主要 包括 多 租户 下 的 安全 隔离 ,数据库 安全 和 应 用 程序 安全 等 方面 
的 问题 。 

(1) 多 租户 安全 

在 多 租户 的 典型 应 用 环境 下 ,可 以 通过 物理 隔离 .虚拟 化 和 应 用 支持 的 多 租户 架构 3 种 
方案 实现 不 同 租户 之 间 数 据 和 配置 的 安全 隔离 ,以 保证 每 个 租户 数据 的 安全 与 隐私 。 

物理 分 隔 法 为 每 个 用 户 配置 其 独占 的 物理 资源 ,实现 在 物理 层面 上 的 安全 隔离 ,同时 可 
以 根据 每 个 用 户 的 需求 ,对 运行 在 物理 机 器 上 的 应 用 进行 个 性 化 设置 ,安全 性 较 好 ,但 该 模 
式 的 硬件 成 本 较 高 ,一般 只 适合 对 数据 隔离 要 求 比较 高 的 大 中 型 企业 ,例如 银行 和 医院 等 。 

虚拟 化 方法 通过 虚拟 技术 实现 物理 资源 的 共享 和 用 户 的 隔离 ,但 每 个 用 户 独 享 一 台 虚 
拟 机 。 其 不 足 之 处 是 当面 对 成 千 上 万 的 用 户 时 ,给 每 个 用 户 都 建立 独立 的 虚拟 机 是 不 合理 
和 没有 效率 的 。 虚 拟 机 的 主要 目的 是 减少 为 达到 隔离 目的 而 产生 的 独占 性 资源 。 与 对 操作 
系统 做 整体 的 虚拟 化 不 同 , 多 个 虚拟 服务 可 以 共享 一 些 基本 的 操作 系统 内 核 , 如 各 类 驱动 程 
序 等 。 和 虚拟 机 一 样 ,虚拟 化 方法 难以 支持 成 千 上 万 的 用 户 , 但 其 在 SaaS 运营 商 优化 机 器 
资源 分 配 等 方面 却 是 一 项 很 有 用 的 技术 。 

应 用 支持 的 多 租户 架构 包括 了 应 用 池 和 共享 应 用 实例 两 种 方式 。 应 用 池 是 将 一 个 或 多 
个 应 用 程序 链接 到 一 个 或 多 个 工作 进程 集合 的 配置 ,是 用 来 隔离 应 用 实例 的 服务 器 端 沙 箱 。 
在 某 个 应 用 池 中 的 应 用 程序 不 会 受到 其 他 应 用 池 中 应 用 程序 所 产生 的 问题 的 影响 。 每 个 应 
用 池 都 有 一 系列 的 操作 系统 进程 来 处 理应 用 请 求 , 通 过 设 定 每 个 应 用 池 中 的 进程 数目 ,能 够 
控制 系统 最 大 资源 利用 情况 和 容量 评估 等 。 这 种 方式 被 很 多 的 托管 商用 来 托管 不 同 客 户 的 
Web 应 用 ,也 就 是 通常 所 说 的 hybrid multi-tenancy。 共 享 应 用 实例 是 在 一 个 应 用 实例 上 为 
成 千 上 万 个 用 户 提 供 服务 ,用 户 间 是 隔离 的 ,并 且 用 户 可 以 用 配置 的 方式 对 应 用 进行 定制 ， 
也 就 是 通常 所 说 的 native multi-tenancy。 这 种 技术 的 好 处 是 ,由 于 应 用 本 身 对 多 租户 架构 
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的 支持 ,所 以 在 资源 利用 率 和 配置 灵活 性 上 都 较 虚 拟 化 的 方式 好 ,并 且 由 于 是 一 个 应 用 实 
例 ,在 管理 维护 方面 也 比 虚拟 化 的 方式 方便 。 

(2) 数据 库 安全 

SaaS 服务 普遍 采用 大 型 商用 关系 型 数据 库 和 集群 技术 ,在 数据 库 的 设计 上 ,多 重 租赁 
的 软件 一 般 采 用 3 种 设计 方法 。 

a 每 个 用 户 独 享 一 个 数据 库 实例 。 

@ 每 个 用 户 独 享 一 个 数据 库 实例 中 的 一 个 架构 模式 。 

@ 多 个 用 户 以 隔离 和 保密 技术 原理 共享 一 个 数据 库 实例 的 一 个 架构 模式 。 

出 于 成 本 考虑 ,多 数 SaaS 服务 均 选择 后 两 种 方案 ,也 就 是 说 ,所 有 用 户 共 享 一 个 数据 库 
许可 证 ,从 而 降低 成 本 。 数 据 库 隔离 的 方式 经 历 了 实例 隔离 .架构 模式 隔离 .分 区 隔离 .数据 
表 隔 离 ,到 应 用 程序 的 数据 逻辑 层 提 供 的 根据 共享 数据 库 进 行 用 户 数据 增删 改 授权 的 隔离 
机 制 , 从 而 在 不 影响 安全 性 的 前 提 下 实现 效率 最 大 化 。 

(3) 应 用 程序 安全 

应 用 程序 的 安全 主要 体现 在 提升 Web 服务 器 安全 性 上 ,基于 Apache\IIS 等 Web 服务 
器 ,主流 厂商 多 采用 J2EE 或 .NET 开发 技术 ,并 采用 特殊 的 Web 服务 器 或 服务 器 配置 以 优 
化 安全 性 .访问 速度 和 可 靠 性 。 身 份 验 证 和 授权 服务 是 系统 安全 性 的 起 点 ,J2EE 和 . NET 
自 带 全 面 的 安全 服务 。J2EE 提供 Servlet Presentation Framework,. NET 提供 . NET 
Framework ,并 持续 升级 。 应 用 程序 通过 调用 安全 服务 的 API 接口 对 用 户 进行 授权 和 上 下 
文 继承 。 

在 应 用 程序 的 设计 上 ,安全 服务 通过 维护 用 户 访 问 列表 、 应 用 程序 会 话 、 数 据 库 访问 会 
话 等 进行 数据 访问 控制 ,并 需要 建立 严格 的 组 织 、 组 ,用户 树 和 维护 机 制 。 

平台 安全 的 核心 是 用 户 权 限 在 各 SaaS 应 用 程序 中 的 继承 ,Salesforce 或 八 百 客 等 厂商 
的 产品 自 带 权 限 树 继承 技术 自 2006 年 以 来 已 经 实现 大 规模 商业 运营 。 而 与 第 二 种 运营 平 
台 模 式 类 似 的 集成 则 需要 专业 的 定制 开发 ,相应 的 中 间 件 技术 或 SOA 总 线 技术 还 未 成 熟 。 

ACL 和 密码 保护 策略 也 是 提高 SaaS 安全 性 的 重要 方面 ,用 户 可 以 在 自己 的 系统 中 修 
改 相 关 策 略 。 有 些 厂商 还 推出 了 浏览 器 插件 来 保护 客户 登录 安全 。 


8.5.2 去 计算 网 络 与 系统 安全 


云 计算 网 络 与 系统 设施 主要 包括 云 计算 平台 的 基础 网 络 、 主 机 和 管理 终端 等 基础 设施 
资源 。 在 云 计算 网 络 和 系统 安全 防护 方面 ,应 采用 划分 安全 域 . 提 高 基础 网 络 健壮 性 、 加 强 
主机 安全 防护 规范 容 灾 及 应 急 响应 机 制 等 方式 ,建立 云 计 算 基 础 网 络 和 主机 系统 等 基础 设 
施 的 纵深 安全 防御 机 制 , 提 高 云 计算 网 络 和 系统 等 基础 设施 的 安全 性 ,健壮 性 以 及 服务 连续 


1. 安全 域 划分 


对 云 计算 平台 的 安全 域 划 分 应 以 云 计算 具体 应 用 为 导向 ,充分 考虑 云 计算 平台 系统 生 
命 周 期 内 从 网 络 系统 规划 设计 、 部 署 .维护 管理 到 运营 全 过 程 中 的 所 有 因素 。 

安全 域 划分 原则 可 参考 原 信息 产业 部 等 级 保护 的 指导 意见 TC260-N0015《 信 息 系统 安 
全 技术 要 求 ) 进 行 ,也 可 借鉴 美国 国家 安全 局 编纂 的 (信息 保障 技术 框架 》(Information 
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Assurance Technical Framework,IATF) 中 提出 的 网 络 安全 “深度 防御 策略 ”的 建议 。 

安全 域 划 分 的 基本 原则 包括 以 下 几 条 。 

1) 业务 保障 原则 

进行 安全 域 划 分 的 根本 目标 是 能 够 更 好 地 保障 网 络 上 承载 的 业务 。 在 保证 安全 的 同 
时 ,还 要 保障 业务 的 正常 运行 和 运行 效率 。 

2) 结构 简化 原则 

安全 域 划分 的 直接 目的 和 效果 是 要 将 整个 网 络 变 得 更 加 简单 ,简单 的 网 络 结构 便于 设 
计 防 护 体系 。 因 此 ,安全 域 划分 并 不 是 粒度 越 细 越 好 ,安全 域 数 量 过 多 、 过 杂 反 而 可 能 导致 
安全 域 的 管理 过 于 复杂 ,实际 操作 过 于 困难 。 

3) 立体 协 防 原则 

安全 域 的 主要 对 象 是 网 络 , 但 是 围绕 安全 域 的 防护 需要 考虑 在 各 个 层次 上 立体 防守 , 包 
括 在 物理 链 路 、 网 络 .主机 系统 和 应 用 等 层次 。 同 时 ,在 部 署 安全 域 防护 体系 的 时 候 , 要 综合 
运用 身份 鉴别 ,访问 控制 .检测 审计 、 链 路 元 余 和 内 容 检测 等 各 种 安全 功能 实现 协 防 。 

4) 生命 周期 原则 

对 于 安全 域 的 划分 和 布防 不 仅 要 考虑 静态 设计 ,还 要 考虑 不 断 的 变化 。 另 外 ,在 安全 域 
的 建设 和 调整 过 程 中 要 考虑 工程 化 的 管理 。 

云 计算 平台 一 般 由 生产 域 . 运 维 管理 域 . 办 公 域 .DMZ 域 和 Internet 域 组 成 。 根 据 上 述 
原则 ,并 结合 其 具体 应 用 安全 等 级 及 防护 需求 ,将 云 计 算 平台 的 安全 域 划分 为 3 级 (如 表 8. 3 
所 示 ) ,其 中 云 计 算 平台 生产 系统 和 运 维 管理 域 为 第 一 级 安全 域 ;办 公 域 和 DMZ 域 为 第 二 级 
安全 域 ;Internet 域 为 第 三 级 安全 域 。 安 全 级 别 依 次 降低 。 


表 8.3 安全 域 列表 
级 别 相关 安全 域名 称 
第 一 级 安全 域 云 平台 生产 域 . 运 维 管理 域 
第 二 级 安全 域 办 公 域 ,DMZ 域 
第 三 级 安全 域 Internet 域 


各 安全 域 之 间 一 般 应 根据 安全 需求 ,采用 防火 墙 进行 安全 隔离 ,确保 安全 域 之 间 的 数据 
传输 符合 相应 的 访问 控制 策略 ,确保 本 区 域内 的 网 络 安全 ,如 图 8. 22 所 示 。 在 各 安全 域内 
部 ,应 根据 业务 类 型 与 不 同 客户 情况 再 规划 下 一 级 安全 子 域 。 在 虚拟 化 环境 中 ,可 考虑 综合 
采用 虚拟 交换 机 和 虚拟 防火 墙 等 措施 将 不 同 用 途 的 网 络 流量 分 隔 ,以 保证 通信 流量 不 会 相 
互 干扰 ,提高 网 络 资源 的 安全 性 和 稳定 性 。 


2. 基础 网 络 安全 


为 实现 云 计算 平台 基础 网 络 的 可 扩展 性 , 云 计 算 平台 整体 网 络 应 进行 统一 IP 地 址 规 
划 , 对 于 云 计算 平台 所 属 服务 器 和 生产 客户 端 应 采取 IP 地 址 和 数据 链 路 层 地 址 绑 定 措施 ， 
防止 地 址 欺骗 。 

核心 网 络 设备 应 支持 设备 级 和 链 路 级 的 宛 余 备份 ,其 业务 处 理 能 力 应 具备 宛 余 空 间 , 以 
满足 业务 高 峰 期 需要 ,同时 应 按照 对 业务 服务 的 重要 次 序 来 指定 带宽 分 配 优先 级 别 , 保 证 在 
网 络 发 生 拥 堵 的 时 候 优 先 保护 重要 系统 。 为 提高 对 基础 网 络 的 防 攻击 处 理 能 力 ,应 通过 构 
建 异常 流量 监控 体系 ,及 时 发 现 、 阻 断 外 网 对 云 计 算 平台 的 DDoS 攻击 ,确保 云 计算 平台 的 
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图 822 云 计算 平台 安全 域 划 分 


服务 连续 性 。 

同时 应 加 强 云 计算 平台 和 外 界 的 访问 控制 ,所 有 接 人 互联 网 的 云 平 台 相 关系 统 应 安装 
防火 墙 。 防 火 墙 应 分 别 安装 在 互联 网 接 人 点 与 DMZ 域 之 间 、DMZ 域 与 内 部 网 络 之 间 。 当 
存储 、 处 理 业 务 信息 的 相关 系统 与 本 系统 安全 域 之 外 的 不 可 信和 网 络 之 间 存 在 网 络 连接 时 ,应 
在 系统 与 不 可 信和 网 络 之 间 安 装 防火 墙 。 在 任何 无 线 网 络 与 存储 、 处 理 业务 信息 的 相关 系统 
之 间 应 安装 边界 防火 墙 。 

在 云 计算 平台 监控 和 维护 方面 ,应 保证 网 络 设备 所 在 物理 区 域 的 安全 ,以 防止 未 经 授权 
的 访问 。 

在 网 络 设备 安全 管理 方面 ,应 使 用 SSH 或 HTTPS 来 远程 管理 网 络 设备 ,如 因 条 件 限 
制 必须 使 用 telnet, 则 应 限制 使 用 telnet 远程 管理 的 IP 地 址 ,会 话 时 间 和 失败 登录 次 数 。 如 
需 使 用 SNMP 管理 监控 网 络 设备 ,应 修改 默认 的 SNMP Community ,使 其 符合 强 密码 要 求 ， 
同时 应 通过 ACL 限制 与 SNMP 通信 的 管理 终端 IP 地 址 。 


3. 应 用 系统 主机 安全 


应 用 系统 主机 指 的 是 云 服务 器 、 运 营 管理 系统 及 其 他 应 用 系统 的 主机 ,其 作为 信息 存 
储 \ 传 输 和 应 用 处 理 的 基础 设施 ,自身 安全 性 涉及 虚拟 机 安全 、 应 用 安全 ,数据 安全 和 网 络 安 
全 等 各 个 方面 ,任何 一 个 主机 节点 都 有 可 能 影响 整个 云 计算 系统 的 安全 。 应 用 系统 主机 安 
全 架构 主要 包括 主机 系统 安全 加 固 、 安 全 防护 和 访问 控制 等 内 容 。 

1) 系统 安全 加 固 

(1) 安全 配置 要 求 : 应 用 系统 上 线 前 ,应 对 其 进行 全 面 的 安全 评估 ,并 进行 安全 加 固 。 
应 遵循 安全 最 小 化 原则 ,关闭 未 使 用 的 服务 组 件 和 端口 。 
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(2) 系统 补丁 控制 : 应 采用 专业 安全 工具 对 主机 系统 (包括 虚拟 机 管理 器 、 操 作 系统 和 
数据 库 系统 等 ) 定 期 评估 。 在 补丁 更 新 前 ,应 对 补丁 与 现 有 系统 的 兼容 性 进行 测试 。 

2) 系统 安全 防护 

(1) 恶意 代码 防范 : 出 于 影响 性 能 考虑 ,一 般 不 建议 宿主 服务 器 安装 防 病毒 软件 。 其 他 
应 用 系统 建议 部 署 实时 检测 和 查 杀 病毒 .恶意 代码 的 软件 产品 ,并 应 自动 保持 防 病毒 代码 的 
更 新 ,或 者 通过 管理 员 进 行 手动 更 新 。 

(2) 人 侵 检测 防范 : 建议 在 云 计算 数据 中 心 网 络 中 部 署 IDS/IPS 等 设备 ,实时 检测 各 类 
非法 入 侵 行为 ,并 在 发 生 严重 入 侵 事件 时 提供 报警 。 

3) 系统 访问 控制 

(1) 账户 管理 : 具备 应 用 系统 主机 的 账号 增加 、 修 改 和 删除 等 基本 操作 功能 ,支持 账号 
属性 自 定义 ,支持 结合 安全 管理 策略 ,对 账号 口令 和 登录 策略 进行 控制 ,应 支持 设置 用 户 登 
录 方 式 及 对 系统 文件 的 访问 权限 。 

(2) 身份 鉴别 : 采用 严格 身份 鉴别 技术 用 于 主机 系统 用 户 的 身份 鉴别 ,包括 提供 多 种 身 
份 鉴别 方式 ,支持 多 因子 认证 和 支持 单 点 登录 。 

(3) 远程 访问 控制 : 限制 匿名 用 户 的 访问 权限 ,支持 设置 单一 用 户 并 发 连接 次 数 和 连接 
超时 限制 等 ,应 采用 最 小 授权 原则 分 别 授予 不 同 用 户 各 自 所 需 的 最 小 权限 。 


4. 管理 终端 安全 


管理 终端 作为 云 计 算 系统 的 一 个 基本 组 件 ,面临 病毒 .蠕虫 和 木马 的 泛滥 威胁 ,不 安全 
的 管理 终端 可 能 成 为 一 个 被 动 的 攻击 源 ,对 整个 云 计算 系统 构成 较 大 的 安全 威胁 。 终 端 应 
能 满足 和 保证 终端 安全 策略 的 执行 ,主要 包括 终端 系统 安全 防护 、 网 络 接 入 控制 .用 户 行 为 
控制 3 部 分 内 容 。 

1) 终端 自身 安全 防护 

(1) 终端 初始 化 : 应 支持 根据 安全 策略 对 终端 进行 操作 系统 配置 ,支持 根据 不 同 的 策略 
自动 选择 所 需 应 用 软件 进行 安装 ,完成 配置 。 

(2) 补丁 管理 : 应 建立 有 效 的 补丁 管理 机 制 ,可 自动 获取 或 分 发 补丁 ,补丁 获取 方式 应 
具有 合法 性 验证 安全 防护 措施 ,如 经 过 数字 签名 或 哈 希 校 验 机 制 保护 。 

(3) 病毒 和 恶意 代码 防范 : 终端 应 安装 客户 端 防 病毒 和 防 恶 意 代 码 软件 ,实时 进行 病毒 
库 更 新 。 支 持 通过 服务 器 设置 统一 的 防毒 策略 。 可 对 防 病毒 软件 安装 情况 进行 监控 ,禁止 
未 安装 指定 防 病毒 软件 的 客户 端 接 入 。 

2) 终端 安全 接 入 控制 

(1) 终端 接 入 网 络 认 证 : 终端 安全 管理 必须 具备 接 人 网 络 认 证 功能 ,只 允许 合法 授权 的 
用 户 终 端 接 入 网 络 。 

(2) 终端 安全 性 审查 与 修复 : 应 支持 对 试图 接 入 网 络 的 终端 进行 控制 ,在 终端 接 入 网 络 之 
前 必须 进行 强制 性 的 安全 审查 ,只 有 符合 终端 接 入 网 络 的 安全 策略 的 终端 才 人 允许 接 入 网 络 。 

(3) 细 粒 度 网 络 访问 控制 : 应 对 接 人 网 络 的 终端 进行 精细 的 访问 控制 ,可 根据 用 户 权限 
控制 接 人 不 同 的 业务 区 域 ,防止 越权 访问 。 

3) 终端 行为 监控 

(1) 非法 外 联检 测 : 应 定义 有 针对 性 的 策略 规则 ,限制 终端 非法 外 联 行为 。 

(2) 终端 上 网 行为 检测 : 应 支持 终端 用 户 上 网 记录 审计 ,可 支持 设置 上 网 内 容 过 滤 ,以 
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及 对 终端 网 络 状态 及 网 络 流量 等 信息 进行 监控 和 审计 。 
(3) 终端 应 用 软件 使 用 控制 : 应 支持 对 终端 用 户 软件 安装 情况 进行 审计 ,同时 对 应 用 软 
件 的 使 用 情况 进行 控制 。 


5. 容 灾 安 全 


为 提高 云 计算 平台 及 应 用 的 可 用 性 ,应 通过 提供 风险 预防 机 制 和 灾难 恢复 措施 ,在 保障 
数据 安全 的 基础 上 ,提高 系统 连续 运行 能 力 , 降 低 云 计算 平台 的 运营 风险 ,提升 云 计算 服务 
质量 和 服务 水 平 。 

由 于 容 灾 系统 建设 成 本 较 高 ,在 具体 应 用 方面 ,应 在 综合 评估 云 计 算 平台 安全 及 业务 运 
营 需 求 的 基础 上 ,根据 业务 发 展 需要 ,逐步 开展 云 计算 平台 容 灾 中 心 的 建设 ,以 应 对 在 因 突 
发 事件 可 能 造成 整个 云 计算 平台 中 心 瘫痪 的 极端 情况 下 ,能 快速 切换 到 容 灾 系统 ,进一步 提 
升 系统 的 连续 运行 能 力 。 

容 灾 可 划分 为 数据 级 .应 用 级 和 业务 级 3 个 层级 。 另 外 ,根据 生产 中 心 和 容 灾 中 心 承担 
的 角色 进行 分 类 ,可 分 为 主 备 中 心 和 双 中 心 两 种 运营 方式 。 在 建设 云 计算 平台 容 灾 系 统 时 ， 
应 结合 云 计算 应 用 的 具体 需求 ,综合 考虑 成 本 因素 ,选择 合适 的 容 灾 等 级 和 运营 方式 。 

容 灾 管理 主要 是 对 云 计算 生产 系统 及 其 容 灾 系统 的 人 员 组 织 和 流程 规划 相关 的 管理 。 
应 建立 有 效 的 容 灾 管理 组 织 机 构 ,制订 灾难 应 对 计划 ,并 对 灾难 应 对 计划 进行 有 效 的 管理 和 
维护 。 其 中 , 容 灾 管 理 流程 应 包括 容 灾 预 警 流程 和 容 灾 恢复 流程 。 预 警 流程 分 以 下 几 个 主 
要 处 理 步骤: 风险 上 报 、 风 险 评估 .风险 决策 .风险 告知 .风险 警备 .发 起 数据 恢复 /应 用 接 
管 .预警 总 结 。 容 灾 恢 复 优 先 采 用 本 地 恢复 , 若 无 法 本 地 恢复 , 则 应 进入 灾难 恢复 流程 。 灾 
难 恢复 流程 应 包括 数据 恢复 .应 用 接管 和 应 用 回 切 流程 。 

为 提高 容 灾 系统 的 可 用 性 ,应 定期 进行 容 灾 演练 和 容 灾 测试 ,以 及 开展 容 灾 培训 工作 。 


8.5.3 云 计 算数 据 与 信息 安全 防护 


云 计算 数据 的 处 理 和 存储 都 在 云 平台 上 进行 ,计算 资源 的 拥有 者 与 使 用 者 相 分 离 已 成 
为 云 计算 模式 的 固有 特点 ,由 此 而 产生 的 用 户 对 自己 数据 的 安全 存储 和 隐私 性 的 担忧 是 不 
可 避免 的 。 

具体 来 说 ,用 户 数据 甚至 包括 涉及 隐私 的 内 容 在 远程 计算 存储 和 通信 过 程 中 都 有 被 故 
意 或 非 故 意 泄 露 的 可 能 ,还 存在 由 断 电 或 宕 机 等 故障 引发 的 数据 丢失 问题 ,甚至 对 于 不 可 靠 
的 云 基础 设施 和 服务 提供 商 , 还 可 能 通过 对 用 户 行为 的 分 析 推测 ,获知 用 户 的 隐私 信息 。 这 
些 问题 将 直接 引发 用 户 与 云 提供 者 间 的 矛盾 和 摩擦 ,降低 用 户 对 云 计算 环境 的 信任 度 , 并 影 
响 云 计算 应 用 的 进一步 推广 。 

信息 安全 的 主要 目标 之 一 是 保护 用 户 数据 和 信息 安全 。 当 向 云 计算 过 渡 时 ,传统 的 数 
据 安全 方法 将 遭 到 云 模式 架构 的 挑战 。 弹 性 ` 多 租户 、 新 的 物理 和 逻辑 架构 以 及 抽象 的 控制 
需要 新 的 数据 安全 策略 。 


1. 数据 安全 管理 与 挑战 


在 信息 生命 周期 管理 的 每 个 阶段 ,安全 控制 要 求 与 云 服务 模式 相关 (SaaS、PaaS 或 
IaaS) ,并 根据 数据 的 保密 级 别 , 对 不 同 级 别 的 信息 有 分 等 级 的 控制 要 求 , 如 表 8.4 所 示 。 


256 


第 8 章 中 间 件 与 云 计算 安全 


表 8.4 数据 安全 控制 要 求 
序 号 生命 周期 安全 控制 要 求 


识别 可 用 的 数据 标签 和 分 类 

企业 数字 权限 管理 (DRMD) 可 能 是 一 种 选择 

数据 的 用 户 标记 在 Web 2. 0 环境 中 应 用 已 经 非常 普遍 ,可 能 对 分 类 数 
据 会 有 较 大 帮助 


活动 监控 ,可 以 通过 日 志文 件 和 基于 代理 的 工具 实现 
2 使 用 应 用 逻辑 
基于 数据 库 管理 系统 解决 方案 的 对 象 级 控制 


识别 文件 系统 、 数 据 库 管理 系统 和 文档 管理 系统 等 环境 中 的 访问 控制 
加 密 解 决 方案 ,涵盖 电子 邮件 、 网 络 传输 .数据 库 、 文 件 和 文件 系统 

在 某 些 需 要 控制 的 环节 上 ,内 容 发 现 工 具 ( 如 DLP 数据 丢失 防护 ) 会 有 
助 于 识别 和 审计 


活动 监控 ,可 以 通过 日 志文 件 和 基于 代理 的 工具 实现 

应 用 逻辑 

基于 数据 库 管理 系统 解决 方案 的 对 象 级 控制 

识别 文件 系统 ,数据库 管 理 系 统 和 文档 管理 系统 等 环境 中 的 访问 控制 。 
加 密 解 决 方案 ,涵盖 电子 邮件 、 网 络 传输 .数据库 、 文 件 和 文件 系统 等 
通过 DLP 实现 基于 内 容 的 数据 保护 


加 密 ,如 磁带 备份 和 其 他 长 期 储存 介质 
资产 管理 和 跟踪 


加 密 和 粉碎 : 所 有 加 密 数 据 相关 的 关键 介质 的 销售 
通过 磁盘 “擦拭 ”和 相关 技术 实现 安全 删除 

物理 销毁 ,如 物理 介质 消 磁 

通过 内 容 发 现 以 确认 销毁 过 程 


创建 


在 云 计算 数据 生命 周期 安全 中 的 关键 挑战 如 下 。 

(1) 数据 安全 : 保密 性 、 完 整 性 、 可 用 性 、 真 实 性 ,授权 、 认 证 和 不 可 抵赖 性 。 

(2) 数据 存放 位 置 : 必须 保证 所 有 的 数据 ,包括 所 有 副本 和 备份 ,存储 在 合同 、 服 务 水 平 
协议 和 法 规 允 许 的 地 理 位 置 。 例 如 ,使 用 由 欧盟 的 4 法规 遵从 存储 条 例 》 管 理 的 电子 健康 记 
录 , 可 能 对 数据 拥有 者 和 云 服务 提供 商都 是 一 种 挑战 。 

(3) 数据 删除 或 持久 性 : 数据 必须 彻底 有 效 地 去 除 才 被 视 为 销毁 。 因 此 ,必须 具备 一 种 
可 用 的 技术 ,能 保证 全 面 和 有 效 地 定位 云 计 算数 据 、 擦 除 /销毁 数据 ,并 保证 数据 已 被 完全 消 
除 或 使 其 无 法 恢复 。 

(4) 不 同 客户 数据 的 混合 : 数据 尤其 是 保密 /敏感 数据 ,不 能 在 使 用 、 储 存 或 传输 过 程 
中 ,在 没有 任何 补偿 控制 的 情况 下 与 其 他 客户 数据 混合 。 数 据 的 混合 将 在 数据 安全 和 地 缘 
位 置 等 方面 增加 安全 挑战 。 

(5) 数据 备份 和 恢复 重建 (recovery and restoration) 计 划 : 必须 保证 数据 可 用 , 云 数据 
备份 和 云 恢复 计划 必须 到 位 和 有 效 , 以 防止 数据 丢失 ,意外 的 数据 覆盖 和 破坏 。 不 要 随便 假 
定 云 模式 的 数据 肯定 有 备份 并 可 恢复 。 

(6) 数据 发 现 (discovery) : 由 于 法 律 系统 持续 关注 电子 证 据 发 现 , 云 服务 提供 商 和 数据 
拥有 者 将 需要 把 重点 放 在 发 现 数据 并 确保 法 律 和 监管 部 门 要 求 的 所 有 数据 可 被 找 回 。 这 些 
问题 在 云 环 境 中 是 极 难 回 答 的 ,将 需要 相关 的 管理 ,技术 和 必要 的 法 律 控制 互相 配合 。 
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(7) 数据 聚合 和 推理 : 数据 在 云端 时 ,会 有 新 增 的 数据 汇总 和 推理 方面 的 担心 ,可 能 会 
导致 违反 敏感 和 机 密 资料 的 保密 性 。 因 此 ,在 实际 操作 中 ,要 保证 数据 拥有 者 和 数据 的 利益 
相关 者 的 利益 ,在 数据 混合 和 汇总 的 时 候 , 避 免 数 据 遭 到 任何 哪怕 是 轻微 的 泄露 (例如 , 带 有 
姓名 和 医疗 信息 的 医疗 数据 与 其 他 匿名 数据 混合 ,两 边 存在 交叉 对 照 字 段 ) 。 


2. 数据 与 信息 安全 防护 


云 计 算 用 户 的 数据 传输 .处 理 和 存储 等 均 与 云 计 算 系 统 有 关 , 在 多 租户 、 瘦 终端 接 人 等 
典型 应 用 环境 下 ,用 户 数 据 面临 的 安全 威胁 更 为 突出 。 针 对 云 计算 环境 下 的 信息 安全 防护 
要 求 ,需要 通过 采用 数据 隔离 .访问 控制 ,加密 传输 、 安 全 存储 和 剩余 信息 保护 等 技术 手段 ， 
为 云 计 算 用 户 提供 端 对 端的 信息 安全 与 隐私 保护 ,从 而 保障 用 户 信息 的 可 用 性 、 保 密 性 和 完 
整 性 。 

数据 与 信息 安全 的 具体 防护 可 分 为 以 下 几 个 方面 。 

1) 数据 安全 隔离 

为 实现 不 同 用 户 间 数据 信息 的 隔离 ,可 根据 应 用 具体 需求 ,采用 物理 隔离 .虚拟 化 和 多 
租户 架构 等 方案 实现 不 同 租户 之 间 数 据 和 配置 信息 的 安全 隔离 ,以 保护 每 个 租户 数据 的 安 
全 与 隐私 。 

2) 数据 访问 控制 

在 数据 的 访问 控制 方面 ,可 通过 采用 基于 身份 认证 的 权限 控制 方式 进行 实时 的 身份 监 
控 、 权 限 认 证 和 证 书 检查 ,防止 用 户 间 的 非法 越权 访问 。 如 可 采用 默认 的 “deny all” 访 问 控 
制 策略 , 仅 在 有 数据 访问 需求 时 才 显 性 打开 对 应 的 端口 或 开启 相关 访问 策略 。 在 虚拟 应 用 
环境 下 ,可 设置 虚拟 环境 下 的 逻辑 边界 安全 访问 控制 策略 ,如 通过 加 载 虚拟 防火 墙 等 方式 实 
现 虚 拟 机 间 .虚拟 机 组 内 部 精细 化 的 数据 访问 控制 策略 。 

3) 数据 加 密 存储 

对 数据 进行 加 密 是 实现 数据 保护 的 一 个 重要 方法 ,即使 该 数据 被 人 非法 窃取 ,对 他 们 来 
说 也 只 是 一 堆 乱 码 ,而 无 法 知道 具体 的 信息 内 容 。 在 加 密 算 法 选择 方面 ,应 选择 加 密 性 能 较 
高 的 对 称 加 密 算法 ,如 AES、3DES 等 国际 通用 算法 ,或 我 国 国有 商 密 算法 SCB2 等 。 在 加 密 
密 钥 管理 方面 ,应 采用 集中 化 的 用 户 密 钥 管理 与 分 发 机 制 , 实 现 对 用 户 信息 存储 的 高 效 安全 
管理 与 维护 。 对 云 存储 类 服务 , 云 计算 系 统 应 支持 提供 加 密 服 务 ,对 数据 进行 加 密 存 储 , 防 
止 数 据 被 他 人 非法 窥探 。 对 于 虚拟 机 等 服务 , 则 建议 用 户 对 重要 的 用 户 数据 在 上 传 、 存 储 前 
自行 进行 加 密 。 

4) 数据 加 密 传输 

在 云 计 算 应 用 环境 下 ,数据 的 网 络 传输 不 可 避免 ,因此 保障 数据 传输 的 安全 性 也 很 重 
要 。 数 据 传输 加 密 可 以 选择 在 链 路 层 、 网 络 层 和 传输 层 等 层面 实现 ,采用 网 络 传 输 加 密 技术 
保证 网 络 传输 数据 信息 的 机 密 性 .完整 性 和 可 用 性 。 对 于 管理 信息 加 密 传输 ,可 采用 
SSH 和 SSL 等 方式 为 云 计 算 系统 内 部 的 维护 管理 提供 数据 加 密 通道 ,保障 维护 管理 信息 安 
全 。 对 于 用 户 数据 加 密 传输 ,可 采用 IPSec VPN 和 SSL 等 VPN 技术 提高 用 户 数 据 的 网 络 
传输 安全 性 。 

5) 数据 备份 与 恢复 

不 论 数 据 存放 在 何 处 ,用 户 都 应 该 慎重 考虑 数据 丢失 风险 ,为 应 对 突 发 的 云 计算 平台 的 
系统 性 故障 或 灾难 事件 ,对 数据 进行 备份 及 进行 快速 恢复 十 分 重要 。 如 在 虚拟 化 环境 下 ,应 
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能 支持 基于 磁盘 的 备份 与 恢复 ,实现 快速 的 虚拟 机 恢复 ,应 支持 文件 级 完整 与 增 量 备份 , 保 
存 增 量 更 改 以 提高 备份 效率 。 涉 及 与 灾 备 相关 的 内 容 参 见 相 关 章 节 。 

6) 剩余 信息 保护 

由 于 用 户 数据 在 云 计算 平台 中 是 共享 存储 的 ,今天 分 配给 某 一 用 户 的 存储 空间 ,明天 可 
能 分 配给 另外 一 个 用 户 , 因 此 需要 做 好 剩余 信息 的 保护 措施 。 所 以 要 求 云 计算 系统 在 将 存 
储 资源 重 分 配给 新 的 用 户 之 前 ,必须 进行 完整 的 数据 擦 除 ,在 对 存储 的 用 户 文件 /对 象 删除 
后 ,对 对 应 的 存储 区 进行 完整 的 数据 擦 除 或 标识 为 只 写 (只 能 被 新 的 数据 获 写 ) ,防止 被 非法 


8.5.4 云 计 算 身 份 管理 与 安全 审计 


管理 身份 和 访问 企业 应 用 程序 的 控制 仍然 是 当今 的 IT 系统 面临 的 最 大 挑战 之 一 。 虽 
然 企 业 可 以 在 没有 良好 的 身份 和 访问 管理 策略 的 前 提 下 利用 若干 云 计算 服务 ,但 从 长 远 来 
说 ,延伸 企业 身份 管理 服务 到 云 计 算 确 是 实现 按 需 计算 服务 战略 的 先导 。 因 此 对 企业 基于 
云 计 算 的 身份 和 访问 管理 (IAM) 是 否 准备 就 绪 进行 一 个 深度 的 评估 ,以 及 理解 云 计 算 供应 
商 的 能 力 ,是 采纳 现今 公认 为 不 成 熟 的 云 生态 系统 的 必要 前 提 。 

云 计算 系统 是 大 量 用 户 、 服 务 提供 商 和 基础 设施 提供 商 协 作 共 处 的 环境 ,通常 它们 属于 
不 同 的 安全 管理 域 。 每 个 域 对 其 内 部 资源 具有 最 高 的 管理 权限 ,对 其 他 管理 域 的 访问 需要 
进行 额外 的 认证 和 授权 。 云 计算 这 种 跨 域 共享 资源 的 特性 对 跨 域 的 身份 认证 和 访问 控制 提 
出 了 严峻 的 挑战 。 

(1) 从 用 户 角度 来 说 ,针对 传统 的 用 户 身份 认证 ,用 户 需要 维护 大 量 的 口令 、 证 书 和 密 
钥 等 来 完成 不 同 服务 对 用 户 身 份 认证 的 鉴别 。 

(2) 从 管理 者 角度 来 说 ,管理 域 的 信任 边界 具有 动态 变化 的 特性 ,管理 域 的 网 络 、 系 统 
和 应 用 边界 可 能 扩展 到 多 个 不 同 的 服务 提供 域 ,资源 的 动态 加 入 和 退出 对 传统 的 信任 管理 
和 控制 机 制 提出 了 挑战 。 

(3) 从 云 服 务 提供 商 角度 而 言 ,每 一 个 管理 域 都 有 独立 的 身份 认证 模式 和 技术 来 完成 
该 域 用 户 的 身份 认证 和 授权 ,但 是 这 些 管 理 域 之 间 如 果 没 有 考虑 其 互 操 作 问 题 , 则 无 法 灵活 
实现 跨 域 身份 认证 问题 。 

因此 ,为 从 根本 上 解决 上 述 问题 ,同时 考虑 到 操作 和 维护 的 一 致 性 ,需要 采用 统一 的 云 
服务 身份 管理 模式 和 认证 技术 ,通过 分 权 分 域 的 控制 机 制 实现 跨 域 的 身份 认证 ,授权 和 访问 
控制 。 


1. 云 计 算 用 户 身份 认证 


云 计算 系统 应 建立 统一 、 集 中 的 认证 和 授权 系统 ,以 满足 云 计算 多 租户 环境 下 复杂 的 用 
户 权限 策略 管理 和 海量 访问 认证 要 求 ,提高 云 计算 系统 身份 管理 和 认证 的 安全 性 。 

1) 集中 用 户 认证 

(1) 采用 主流 认证 方式 ,如 LDAP、 数 字 证 书 认 证 、 令 牌 卡 认证 、 硬 件 信息 绑 定 认证 和 生 
物 特 征 认证 等 ,支持 多 因子 认证 。 

(2) 对 不 同类 型 和 等 级 的 系统 .服务 和 端口 采用 相应 等 级 的 一 种 或 多 种 组 合 认 证 方式 ， 
以 满足 云 计算 系统 中 不 同 子 系统 的 安全 等 级 与 成 本 及 易 用 性 的 平衡 要 求 。 
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(3) 提供 用 户 访问 日 志 记 录 , 记 录用 户 登 录 信 息 , 包 括 系统 标识 .登录 用 户 、 登 录 时 间 、 
登录 IP 和 登录 终端 等 标识 。 

2) 集中 用 户 授权 

(1) 根据 用 户 、 用 户 组 和 用 户 级 别 的 定义 来 对 云 计算 系 统 资源 的 访问 进行 集中 授权 。 

(2) 采用 集中 授权 或 分 级 授权 机 制 。 

(3) 支持 细 颗 粒度 授权 策略 。 

3) 访问 授权 策略 管理 

(1) 身份 认证 策略 : 采用 用 户 身 份 与 终端 绑 定 的 策略 .完整 性 认证 检查 策略 和 口令 
策略 。 

(2) 授权 策略 : 支持 采用 集中 授权 或 分 级 授权 策略 。 

(3) 账号 策略 : 设置 账号 安全 策略 ,包括 口令 连续 错误 锁定 账号 .长 期 不 用 导致 账号 失 
效 、 用 户 账号 未 退出 时 禁止 重复 登录 等 。 

4) 其 他 功能 要 求 

(1) 日 志 管 理 : 支持 对 用 户 认证 信息 ,授权 信息 等 详细 日 志 的 集中 存储 和 查询 。 

(2) 加 密 机 制 : 支持 对 认证 ,授权 等 敏感 数据 的 加 密 存储 及 传输 。 


2. 云 计算 用 户 账号 管理 


在 云 计算 系统 账号 管理 方面 ,可 通过 对 云 计算 用 户 账号 进行 集中 维护 管理 ,为 实现 云 计 
算 系 统 的 集中 访问 控制 ,集中 授权 和 集中 审计 提供 可 靠 的 原始 数据 。 

1) 云 计算 用 户 账号 访问 控制 的 要 求 

云 计 算 用 户 账号 访问 控制 需 遵 循 如 下 要 求 : 

(1) 根据 “业务 需要 ?原则 ,严格 控制 访问 和 使 用 用 户 账 户 信息 ,任何 云 计算 用 户 都 只 能 
访问 其 开展 业务 所 必需 的 账户 信息 ,防止 未 经 授权 擅自 对 账户 信息 进行 查看 , 算 改 和 破坏 。 

(2) 应 至 少 采 用 下 列 一 种 方式 验证 访问 账户 信息 的 人 员 身 份 : 

@ 口令 ; 

@ 令 牌 (如 Secure ID .证 书 等 ); 

@ 生物 特征 。 

(3) 分 配 唯一 的 用 户 账号 给 每 个 有 权 访 问 账户 信息 的 系统 用 户 ,并 采取 以 下 管理 措施 。 

g@ 在 添加 、 修 改 和 删除 用 户 账 号 或 操作 权限 前 ,应 履行 严格 的 审批 手续 。 

@ 用 户 间 不 得 共用 同一 个 访问 账号 及 密码 。 

(4) 对 用 户 密码 管理 采取 下 列 措施 ,降低 用 户 密码 遭 窃取 或 泄露 的 风险 : 

Q@ 对 不 同 用 户 账号 设置 不 同 的 初始 密码 。 用 户 首次 登录 云 计算 系统 时 ,应 强制 要 求 其 
更 改 初始 密码 。 

@ 用 户 密码 长 度 不 得 少 于 6 位 ,应 由 数字 和 字母 共同 组 成 ,不 得 设置 简单 密码 。 

@ 云 计算 系统 强制 要 求 用 户 定期 更 改 登录 密码 ,修改 周期 最 长 不 得 超过 3 个 月 ,否则 
将 予以 登录 限制 。 

加 对 密码 进行 加 密 保护 ,密码 明文 不 得 以 任何 形式 出 现 。 

@ 重 置 用 户 密码 前 必须 对 用 户 身 份 进行 核实 。 

(5) 用 户 账号 登录 控制 。 

云 计 算 系 统 登录 连续 失败 达到 5 次 的 ,应 暂时 冻结 该 用 户 账号 。 经 云 计算 系统 管理 员 
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对 用 户 身份 验证 并 通过 后 ,再 恢复 其 用 户 状 态 。 
用 户 登 录 云 计算 系统 后 ,工作 暂停 时 间 达 到 或 超过 10 分 钟 的 , 云 计算 系统 应 要 求 用 户 
重新 登录 并 验证 身份 。 
2) 用 户 账号 加 密 
用 户 账号 在 整个 传输 过 程 和 云 计算 平台 系统 中 必须 加 密 : 
用 户 账户 信息 传输 过 程 中 , 需 采取 足够 的 安全 措施 保障 信息 安全 。 

(1) 账户 信息 通过 互联 网 或 无 线 网 络 传输 时 ,必须 进行 加 密 或 在 加 密 通 道中 传输 (如 
SSL.TLS 和 IPSec)。 

(2) 对 于 无 线 方式 传输 账户 信息 的 ,应 使 用 WiFi 保护 访问 技术 (WPA 或 WPA2)、 
IPSec VPN 或 SSL/TLS 等 进行 加 密 保护 。 

(3) 禁止 通过 电子 邮件 传输 未 加 密 的 用 户 账号 信息 。 

3) 云 计算 用 户 账户 信息 的 销毁 

对 于 以 下 保存 到 期 或 已 经 使 用 完毕 的 账户 信息 , 均 应 建立 严格 的 销毁 登记 制度 : 

(1) 因 业 务 需要 存储 使 用 的 账号 信息 有 效 期 和 身份 证 件 号 码 ; 

(2) 纸张 光盘、 磁带 及 其 他 可 移动 的 数据 存储 载体 等 介质 中 存储 的 账户 信息 ; 

(3) 报废 设备 或 介质 中 存储 的 账户 信息 ; 

(4) 其 他 超过 保存 期 限 需 销毁 的 账户 信息 。 

用 户 账户 信息 的 销毁 应 符合 以 下 要 求 : 

(1) 对 于 所 有 需 销毁 的 各 类 云 计 算账 户 信 息 , 应 在 监督 员 在 场 的 情况 下 及 时 妥善 销毁 。 

(2) 对 于 不 同类 别 账户 信息 的 销毁 ,应 分 别 建立 销毁 登记 记录 。 销 毁 记录 至 少 应 包括 
使 用 人 用途、 销毁 方式 与 时 间 .销毁 人 签字 和 监督 人 签字 等 内 容 。 


3. 云 计 算 系 统 安 全 审计 


相对 于 传统 IT 系统 , 云 计 算 系统 的 分 层 架 构 体系 使 得 其 日 志 信息 对 于 运行 维护 .安全 
事件 追溯 和 取证 调查 等 方面 来 说 更 为 重要 , 云 计算 系统 应 通过 建立 安全 审计 系统 进行 统一 、 
完整 的 审计 分 析 ,通过 对 操作 、 维 护 等 各 类 云 计 算 系统 日 志 的 安全 审计 提高 对 违规 事件 的 事 
后 审查 能 力 。 

(1) 建立 完善 的 云 计 算 系 统 日 志 记录 及 审核 机 制 ,日 志 的 内 容 应 包括 用 户 ID .操作 日 期 
及 时 间 、 操 作 内 容 、 操 作 是 否 成 功 等 , 云 计 算 相 关系 统 应 对 以 下 事件 记录 日 志 : 

Q@ 用 户 对 账户 信息 的 访问 ; 

@ 登录 系统 的 方式 ; 

@ 失败 的 访问 尝试 ; 

@ 用 户 的 操作 记录 ; 

@@ 对 系统 日 志 的 访问 ; 

其 他 涉及 账户 信息 安全 的 系统 记录 。 

(2) 采取 有 效 措施 ,确保 云 计算 用 户 活动 日 志 的 准确 性 和 完整 性 。 

@ 云 计算 所 有 重要 系统 时 钟 时 间 应 保持 同步 ,以 真实 记录 系统 访问 及 操作 情况 。 

@ 及 时 将 云 计算 平台 生成 的 各 类 日 志 备份 到 专用 日 志 服 务 器 或 安全 介质 内 。 

@ 采用 监控 软件 保证 日 志 的 一 致 性 与 完整 性 。 

@ 每 天 应 对 日 志 进 行 审核 ,系统 日 志 记 录 至 少 保存 半年 或 更 长 的 时 间 。 
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8.5.5 云 计 算 应 用 安全 策略 部 署 


本 章 上 述 内 容 主 要 从 技术 层面 系统 阐述 了 云 计算 应 用 的 安全 防护 方案 ,而 对 于 不 同 的 
云 计算 应 用 而 言 ,其 在 进行 安全 策略 部 署 时 的 侧重 点 也 有 所 不 同 。 本 节 以 两 种 典型 的 云 计 
算 应 用 服务 一 一 公共 基础 设施 云 服务 和 企业 私有 云 为 例 , 对 其 安全 应 用 策略 部 署 提出 建议 。 


1. 公共 基础 设施 云 安全 策略 


云 服务 提供 商 的 公共 基础 设施 云 主要 是 基于 云 计 算 平 台 的 IT 基础 设施 为 用 户 提供 租 
用 服务 ,如 IDC 等 。 对 于 该 类 云 服 务 而 言 ,一 方面 其 仍然 是 基于 传统 的 IT 环境 ,面临 的 安全 
风险 和 传统 的 IT 环境 并 没有 本 质 的 不 同 ; 另 一 方面 , 云 服务 模式 、 运 营 模 式 和 云 计算 新 技术 
的 引入 ,给 服务 提供 商 带 来 了 比 传统 IT 环境 更 多 的 安全 风险 。 

对 于 公共 基础 设施 云 服 务 而 言 ,重点 需要 解决 云 计算 平台 安全 ,多 租户 模式 下 的 用 户 信 
息 安全 隔离 .用户 安 全 管理 ,以 及 法 律 与 法 规 遵从 等 方面 的 安全 问题 。 由 于 公有 云 平台 承载 
了 海量 的 用 户 应 用 ,如 何 保障 云 计算 平台 的 安全 高 效 运营 至 关 重 要 。 而 在 公有 云 典 型 的 多 
租户 应 用 环境 下 ,能 否 实现 用 户 信息 的 安全 隔离 直接 关系 到 用 户 的 安全 隐私 能 否 得 到 有 效 
保护 。 同 时 法 律 与 法 规 的 遵从 也 是 非常 重要 的 内 容 , 作 为 云 服 务 提供 商 对 外 提供 服务 ,需要 
考虑 满足 相关 法 律 法 规 要 求 。 

对 于 云 服 务 提 供 商 而 言 ,当前 云 计算 服务 还 处 在 演进 阶段 ,实现 全 面 的 安全 功能 和 技术 
要 求 并 非 一 跳 而 就 的 ,需要 结合 具体 的 业务 应 用 发 展 ,循序 渐进 地 开展 安全 部 署 和 管理 工 
作 。 其 主要 安全 部 署 策略 可 包括 如 下 内 容 。 

(1) 基础 安全 防护 : 建立 公共 基础 设施 云 的 安全 体系 ,保障 云 计 算 平 台 的 基础 安全 , 主 
要 包括 构建 涵盖 云 计算 平台 基础 网 络 .主机 和 管理 终端 等 基础 设施 资源 的 安全 防护 体系 , 建 
设 云 平台 自身 的 用 户 管理 .身份 鉴别 和 安全 审计 系统 等 。 针 对 一 些 关 键 应 用 系统 或 VIP 客 
户 ,可 考虑 建设 容 灾 系 统 , 进 一 步 提升 其 应 对 突 发 安全 事件 的 能 力 。 

(2) 数据 监管 风险 规避 : 目前 国际 社会 对 日 趋 全 球 化 的 云 计算 服务 中 的 跨 境 数据 存储 、 
流动 和 交付 的 监管 政策 尚未 达成 一 致 ,在 发 生 安全 事件 后 如 何 对 造成 的 损失 进行 评估 及 赠 
偿 可 能 存在 较 多 争议 ,因此 , 云 服务 提供 商 需要 在 商业 合同 中 的 司法 管辖 权 和 SLA 条 款 中 
对 此 进行 合理 设 定 ,并 对 运营 管理 制度 、 业 务 提供 的 合 规 性 进行 合理 规范 ,以 规避 不 必要 的 
经 营 风 险 。 

(3) 安全 增值 服务 提供 : 在 构建 基础 设施 层面 的 安全 防护 体系 的 基础 上 ,为 进一步 提高 
用 户 的 黏 性 ,为 用 户 提 供 可 选 的 应 用 、 数 据 及 安全 增值 服务 ,提高 安全 服务 的 商业 价值 ,同时 
为 提高 用 户 对 安全 性 的 感知 度 , 可 通过 安全 报表 、 安 全 外 设 等 方式 实现 安全 的 显 性 化 。 


2. 企业 私有 云 安全 策略 


对 于 很 多 大 中 型 企 事业 单位 而 言 , 目 前 还 不 能 接受 公有 云 服务 的 安全 性 ,主要 焦点 在 于 
对 数据 直接 控制 权 的 弱化 。 因 此 ,他们 主要 通过 在 内 部 打造 私有 云 来 提高 自身 关键 业务 的 
服务 质量 成 本 控制 水 平和 管理 自动 化 水 平 。 通 过 构建 私有 云 , 可 以 让 企业 能 够 实现 对 其 数 
据 和 资源 的 完全 控制 ,在 安全 性 .法规 遵从 以 及 服务 质量 方面 更 加 具有 保障 ,也 更 加 容易 集 
成 现 有 应 用 。 这 样 可 以 在 获得 云 计 算 所 带 来 的 好 处 的 同时 ,又 能 管理 云 架 构 。 
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一 般 来 说 ,私有 云 部 署 在 企业 内 部 ,和 公有 云 相 比 ,用 户 对 其 物理 乃至 安全 性 的 控制 更 
为 直接 。 因 此 ,总 体 上 讲 , 私 有 云 的 安全 部 署 策 略 相 对 公有 云 来 说 要 简单 些 , 一 方面 是 由 于 
私有 云 一 般 部 署 在 企业 网 内 部 ,不 是 完全 开放 在 互联 网 上 ; 另 一 方面 ,私有 云 在 用 户 管理 和 
上 层 应 用 等 方面 相对 公有 云 而 言 较 为 单一 ,因而 有 助 于 实施 较为 一 致 的 安全 策略 。 

但 由 于 私有 云 一 般 承载 着 企业 的 日 常 运作 流程 或 重要 信息 系统 ,其 安全 性 和 安全 稳定 
运行 对 于 企业 的 正常 运作 非常 重要 。 在 构建 私有 云 安 全 防护 体系 时 ,除了 需要 在 网 络 层 、 虚 
拟 化 层 、 操 作 系统 .私有 云 平台 自身 应 用 和 用 户 安全 管理 .安全 审计 和 和 人 侵 防 范 等 层面 进行 
安全 策略 部 署 ,做 好 基础 的 安全 防护 工作 ,同时 还 应 满足 如 下 要 求 : 

(1) 与 现 有 IT 系统 安全 策略 相 兼容 。 一 般 来 说 ,私有 云 是 渐进 式 部 署 ,而 不 是 一 次 性 
部 署 完成 。 因 此 ,私有 云 安全 架构 将 能 够 与 其 他 安全 基础 架构 交换 、 共 享 安全 策略 ,以 满足 
企业 的 整体 安全 策略 要 求 。 

(2) 具备 安全 回 退 机 制 。 需 要 对 企业 关键 应 用 和 相关 重要 信息 进行 定期 备份 ,并 制定 
相关 应 急 处 理 预案 ,在 私有 云 发 生 突 发 安全 事件 后 ,能 够 快速 恢复 ,甚至 可 以 回 退 到 传统 IT 
应 用 平台 。 


8.6 云 安全 技术 解决 方案 


以 上 对 云 安全 研究 的 进展 进行 了 阐述 。 从 整体 上 来 说 ,国际 上 关于 云 计算 安全 问题 的 
研究 也 是 刚刚 起 步 ,虽然 很 多 的 组 织 和 机 构 都 在 积极 地 对 云 计算 的 安全 问题 进行 分 析 和 研 
究 , 但 主要 是 CSA 以 及 微软 .谷歌 和 亚马逊 等 几 个 为 数 不 多 的 组 织 和 机 构 能 够 比较 清晰 地 
提出 各 自 对 云 计算 安全 问题 的 基本 认识 以 及 关于 云 计算 安全 问题 的 初步 解决 方案 。 下 面 对 
主流 企业 云 安全 研究 进展 及 技术 解决 方案 进行 曾 述 。 


1. 微软 


微软 的 云 计 算 平台 叫做 Windows Azure。 在 Azure 上 ,微软 通过 采用 强化 底层 安全 技 
术 性 能 、 使 用 所 提出 的 Sydney 安全 机 制 ,以 及 在 硬件 层面 上 提升 访问 权限 安全 等 系列 技术 
措施 为 用 户 提供 一 个 可 信任 的 云 ,从 私密 性 .数据 删除 .完整 性 .可 用 性 和 可 靠 性 5 个 方面 保 
证 云 安全 。 

(1) 私密 性 : Windows Azure 通过 身份 和 访问 管理 .SMAPI 身份 验证 、 最 少 特权 用 户 软 
件 .内 部 控制 通信 量 的 SSL 双向 认证 .证 书 和 私有 密 钥 管理 .Windows Azure Storage 的 访 
问 控制 机 制 保证 用 户 数 据 的 私密 性 。 

(2) 隔离 : 把 不 同 的 数据 适当 地 进行 隔离 ,作为 一 种 保护 方式 。 微 软 提供 了 管理 程序 ， 
Root OS 和 Guest VMs 的 隔离 .Fabric Controllers 的 隔离 . 包 过 滤 、VLAN 隔离 .用户 访问 
的 隔离 5 种 隔离 方式 给 用 户 数据 提供 保护 。 

(3) 加 密 : 在 存储 和 传输 中 对 数据 进行 加 密 ,确保 数据 的 保密 性 和 完整 性 。 此 外 ,针对 
关键 的 内 部 通信 ,使 用 SSL 加 密 进行 保护 。 作 为 用 户 的 选择 之 一 , Windows Azure SDK 扩 
展 了 核心 . NET 类 库 以 允许 开发 人 员 在 Windows Azure 中 整合 . NET 加 密 服务 提供 商 
Uppy 

(4) 数据 删除 : Windows Azure 的 所 有 的 存储 操作 ,包括 删除 操作 被 设计 成 即时 一 致 
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的 。 一 个 成 功 执行 的 删除 操作 将 删除 所 有 相关 数据 项 的 引用 ,使 得 它 无 法 再 通过 存储 
API 访 问 。 所 有 被 删除 的 数据 项 在 之 后 被 垃圾 回收 。 正 如 一 般 的 计算 机 物理 设备 一 样 , 物 
理 二 进 制 数据 在 相应 的 存储 数据 块 为 了 存储 其 他 数据 而 被 重用 的 时 候 会 被 覆盖 掉 。 

(5) 完整 性 : 微软 的 云 操作 系统 以 多 种 方式 来 提供 这 一 保证 。 对 客户 数据 的 完整 性 保 
护 的 首要 机 制 是 通过 Fabric VM 设计 本 身 提供 的 。 每 个 VM 被 连接 到 3 个 本 地 虚拟 硬盘 驱 
动 (VHD): D 驱动 器 包含 了 多 个 版 本 的 Guest OS 中 的 一 个 ,保证 了 最 新 的 相关 补丁 ,并 能 
由 用 户 自己 选择 ;E 驱动 器 包含 了 一 个 被 FC 创建 的 映像 ,该 映像 是 基于 用 户 提 供 的 程序 包 
的 ;C 驱动 器 包含 了 配置 信息 .paging 文件 和 其 他 存储 。 另 外 存储 在 读 / 写 C 驱动 器 中 的 配 
置 文件 是 另 一 个 主要 的 完整 性 控制 器 。 至 于 Windows Azure 存储 ,完整 性 是 通过 使 用 简单 
的 访问 控制 模型 来 实现 的 。 

每 个 存储 账户 有 两 个 存储 账户 密 钥 来 控制 所 有 对 在 存储 账户 中 数据 的 访问 ,因此 对 存 
储 密 钥 的 访问 提供 了 对 相应 数据 的 完全 控制 。Fabric 自身 的 完整 性 在 从 引导 程序 到 操作 中 
都 被 精心 管理 。 

(6) 可 用 性 : Windows Azure 提供 了 大 量 的 元 余 级 别 来 提升 最 大 化 的 用 户 数 据 可 用 性 。 
数据 在 Windows Azure 中 被 复制 备份 到 Fabric 中 的 3 个 不 同 的 节点 来 最 小 化 硬件 故障 带 
来 的 影响 。 用 户 可 以 通过 创建 第 二 个 存储 账户 来 利用 Windows Azure 基础 设施 的 地 理 分 
布 特性 达到 热 失效 备 援 功 能 。 

(7) 可 靠 性 : Windows Azure 通过 记录 和 报告 来 让 用 户 了 解 这 一 点 。 监 视 代理 (MA) 
从 包括 FC 和 RootOS 在 内 的 许多 地 方 获 取 监 视 和 诊断 日 志 信息 并 写 到 日 志文 件 中 ,最 终 将 
这 些 信息 的 子 集 推送 到 一 个 预先 配置 好 的 Windows Azure 存储 账户 中 。 此 外 ,监视 数据 分 
析 服 务 (MDS) 是 一 个 独立 的 服务 ,能 够 读 取 多 种 监视 和 诊断 日 志 数据 并 总 结 信息 ,将 其 写 到 
集成 化 日 志 中 。 


2. 谷歌 


在 2010 年 ,为 使 其 安全 措施 ,政策 及 涉及 谷歌 应 用 程序 套件 的 技术 更 透明 ,谷歌 发 布 了 
一 份 白皮书 ,向 当前 和 潜在 的 云 计算 客户 保证 强大 而 广泛 的 安全 基础 。 此 外 ,谷歌 在 云 计算 
平台 上 还 创建 了 一 个 特殊 门户 , 供 使 用 应 用 程序 的 用 户 了 解 其 隐私 政策 和 安全 问题 。 

谷歌 的 云 计算 平台 主要 从 3 个 部 分 着 手 保障 云 安全 。 

(1) 人 员 保证 。 谷 歌 雇用 一 个 全 天 候 的 顶级 信息 安全 团队 ,负责 公司 周围 的 防御 系统 
并 编写 文件 ,实现 谷歌 的 安全 策略 和 标准 。 

(2) 流程 保证 。 应 用 要 经 过 多 次 的 安全 检查 。 作 为 安全 代码 开发 过 程 ,应 用 开发 环境 
有 严格 控制 并 认真 调整 到 最 大 的 安全 性 能 。 外 部 的 安全 审计 也 有 规则 地 实施 来 提供 额外 的 
保障 。 

(3) 技术 保证 。 为 降低 开发 风险 ,每 个 谷歌 服务 器 只 根据 定制 安装 必需 的 软件 组 件 ,而 
且 在 需要 的 时 候 ,均匀 的 服务 器 架构 能 够 实现 全 网 的 快速 升级 和 配置 改变 。 数 据 被 复制 到 
多 个 数据 中 心 ,以 获得 宛 余 的 和 一 致 的 可 用 性 。 在 安全 上 ,实现 可 信 云 安全 产品 管理 可 信 
云 安 全 合作 伙伴 管理 , 云 计 算 合 作 伙伴 自 管理 、 可 信 云 安全 的 接 入 服务 管理 和 可 信 云 安全 企 
业 自 管理 。 在 可 信 云 安全 系统 技术 动态 IDC 解决 方案 中 ,采取 面向 服务 的 接口 设计 、 虚 拟 化 
服务 .系统 监控 服务 .配置 管理 服务 和 数据 保护 服务 等 方法 ,实现 按 需 服务 .资源 池 、 高 可 扩 
展 性 、 弹 性 服务 、 自 服务 、 自 动 化 和 虚拟 化 、 便 捷 网 络 访问 和 服务 可 度量 等 特点 。 
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3. 亚马逊 


亚马逊 是 互联 网 上 最 大 的 在 线 零 售 商 ,但 是 同时 也 为 独立 开发 人 员 以 及 开发 商 提供 云 
计算 服务 平台 。 亚 马 逊 是 最 早 提供 远程 云 计算 平台 服务 的 公司 ,他 们 的 云 计算 平台 称 为 弹 
性 计算 云 (Elastic Compute Cloud,EC2) 。 亚 马 逊 从 主机 系统 的 操作 系统 .虚拟 实例 操作 系 
统 和 客户 操作 系统 、 防 火 墙 以 及 API 呼叫 多 个 层次 为 EC2 提供 安全 ,目的 就 是 防止 亚马逊 
EC2 中 的 数据 被 未 经 认可 的 系统 或 用 户 拦截 ,并 在 不 牺牲 用 户 要 求 的 配置 灵活 性 的 基础 上 
提供 最 大 限度 的 安全 保障 。 

EC2 系统 主要 包括 以 下 组 成 部 分 。 

(1) 主机 操作 系统 。 具 有 进入 管理 面 业务 需 要 的 管理 员 被 要 求 使 用 多 因子 的 认证 以 获 
得 目标 主机 的 接 人 。 这 些 管理 主机 都 被 专门 设计 、 建 立 .配置 和 加 固 ,以 保证 云 的 管理 面 , 所 
有 的 接 人 都 被 记录 并 审计 。 当 一 个 员工 不 再 具有 这 种 进入 管理 面 的 业务 需要 时 ,对 这 些 主 
机 和 相关 系统 的 接 人 和 优先 权 被 取消 。 

(2) 客户 操作 系统 。 虚 拟 实例 由 用 户 完全 控制 ,对 账户 .服务 和 应 用 具有 完全 的 根 访问 
和 管理 控制 。AWS (Amazon Web 服务 ) 对 用 户 实例 没有 任何 的 接 人 权 , 并 不 能 登录 用 户 的 
操作 系统 。AWS 建议 一 个 最 佳 实践 的 安全 基本 集 ,包括 不 再 允许 只 用 密码 访问 他 们 的 主 
机 ,而 是 利用 一 些 多 因子 认证 获得 访问 他 们 的 例子 。 另 外 ,用 户 需 要 采用 一 个 能 登录 每 个 用 
户 平台 的 特权 升级 机 制 。 例 如 ,如 果 用 户 的 操作 系统 是 Linux, 在 加 固 他 们 的 实例 后 ,他 们 
应 当 采 用 基于 认证 的 SSHv2 来 接 入 虚拟 实例 ,不 允许 远程 登录 ,使 用 命令 行 日 志 , 并 使 用 
sudo 进行 特权 升级 。 用 户 应 生成 他 们 的 关键 对 ,以 保证 他 们 独特 性 ,不 与 其 他 用 户 或 
AWS 共享 。 

(3) 防火 墙 。 亚 马 逊 EC2 提供 了 一 个 完整 的 防火 墙 解决 方案 。 这 个 本 地 的 强制 防火 墙 
配置 在 一 个 默认 的 deny-all 模式 ,亚马逊 EC2 顾客 必须 明确 地 打开 允许 对 内 通信 的 端口 。 
通信 可 能 受 协议 .服务 端口 以 及 附近 的 源 设 定 接口 的 网 络 逻 辑 地 址 的 限制 。 防 火 墙 可 以 配 
置 在 组 中 ,允许 不 同等 级 的 实例 有 不 同 的 规则 。 

(4) 实例 隔离 。 和 运行 在 相同 物理 机 器 上 的 不 同 实例 通过 Xen 程序 相互 隔离 。 另 外 ， 
AWS 防火 墙 位 于 管理 层 ,在 物理 网 络 接口 和 实例 虚拟 接口 之 间 。 所 有 的 包 必 须 经 过 这 个 
层 , 从 而 一 个 实例 附近 的 实例 与 网 上 的 其 他 主机 相 比 ,没有 任何 多 余 的 接 人 方式 ,并 可 认为 
他 们 在 单独 的 物理 主机 上 。 物 理 RAM 也 使 用 相同 的 机 制 进行 隔离 。 客 户 实例 不 能 得 到 原 
始 磁盘 设备 ,而 是 提供 虚拟 磁盘 。AWS 所 有 的 磁盘 虚拟 化 层 自 动 复 位 用 户 使 用 的 每 个 存储 
块 ,以 便 用 户 的 数据 不 会 无 意 地 暴露 给 另 一 用 户 。AWS 还 建议 用 户 在 虚拟 磁盘 之 上 使 用 一 
个 加 密 的 文件 系统 ,以 进一步 保护 用 户 数 据 。 


4. 中 国电 信 


作为 拥有 全 球 最 大 的 固 话 网 络 和 中 文 信息 网 络 的 基础 电信 运营 商 ,中 国电 信 一 直 高 度 
关注 云 计算 的 发 展 。 对 于 云 安 全 ,中 国电 信 认 为 , 云 计 算 应 用 作为 一 项 信息 服务 模式 ,其 安 
全 与 ASP( 应 用 托管 服务 ) 等 传统 IT 信息 服务 并 无 本 质 上 的 区 别 , 只 是 由 于 云 计 算 的 应 用 模 
式 及 底层 架构 的 特性 ,使 得 在 具体 安全 技术 及 防护 策略 实现 上 会 有 所 不 同 。 为 有 效 保障 云 
计算 应 用 的 安全 , 需 在 采取 基本 的 IT 系统 安全 防护 技术 的 基础 上 ,结合 云 计算 应 用 的 特点 ， 
进一步 集成 数据 加 密 、VPN 、 身 份 认证 和 安全 存储 等 综合 安全 技术 手段 ,构建 面向 云 计 算 应 
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日 的 纵深 安全 防御 体系 ,并 重点 解决 如 下 问题 : 

(1) 云 计算 底层 技术 架构 安全 : 如 虚拟 化 安全 和 分 布 式 计算 安全 等 。 

(2) 云 计算 基础 设施 安全 : 保障 云 计算 系统 稳定 性 及 服务 连续 性 。 

(3) 用 户 信 息 安全 : 保护 用 户 信息 的 可 用 性 、 保 密 性 和 完整 性 。 

(4) 运营 管理 安全 : 加 强 运 营 管理 ,完善 安全 审计 及 漳 源 机 制 。 

随 着 云 计 算 部 署 和 实施 规模 的 日 益 扩 大 ,对 云 安全 的 研究 及 技术 解决 方案 的 探索 将 持 
续 深入 。 微 软 , 谷 歌 和 亚马逊 等 IT 巨头 们 以 前 所 未 有 的 速度 和 规模 推动 云 计算 的 普及 和 发 
展 ,而 云 安 全 技术 推出 的 时 间 不 长 , 且 网 络 威胁 是 动态 变化 的 ,所 以 云 安 全 技术 永远 都 处 于 
不 断 研发 .完善 和 前 进 的 过 程 中 。 各 大 公司 都 在 积极 地 应 对 云 安全 ,为 此 ,我 们 对 云 计 算 主 
流 企业 的 云 安全 研究 进展 和 解决 方案 进行 分 析 和 跟踪 ,对 我 国 云 计 算 安 全 事业 的 发 展 有 一 
定 的 现实 意义 。 


习题 八 


.进行 操作 系统 .数据库 管理 系统 和 中 间 件 的 类 比 。 
. 按 网 络 功 能 子 系统 细 分 ,有 哪 几 类 网 络 中 间 件 ? 
. 安全 中 间 件 产品 一 般 基于 什么 体系 思想 ? 

. 简 述 云 计算 逻辑 结构 。 

. 云 计算 的 主要 服务 形式 有 哪 几 种 ? 

. 云 安全 主要 包含 哪 两 个 方面 的 含义 ? 

. 要 想 建立 云 安全 系统 ,并 使 之 正常 运行 ,需要 解决 哪 4 个 方面 的 问题 ? 
. 简 述 云 计算 的 核心 技术 。 

. 绘图 说 明 云 计算 安全 技术 体系 框架 。 

10. 简要 说 明 云 计算 平台 的 安全 域 划分 的 基本 原则 。 
11. 简 述 主流 企业 云 安全 研究 进展 及 技术 解决 方案 。 


Co 和 Nd Lr- 
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第 9 章 信息 隐藏 技术 原理 


人 们 往往 认为 对 通信 内 容 加 密 即 可 保证 通信 的 安全 ,然而 在 实际 中 这 是 远 远 不 够 的 。 
特洛伊 战争 中 的 谋士 们 和 一 些 其 他 古代 的 作者 专注 于 隐藏 信息 更 甚 于 仅仅 是 将 它们 译 为 密 
码 ; 尽 管 现代 的 密码 学 从 文艺 复兴 时 期 开始 发 展 ,我 们 却 发 现 Wilkins 在 1641 年 还 是 乐于 隐 
藏 甚 于 加 密 , 因 为 这 样 做 很 少 会 引起 注意 。 这 种 应 用 持续 到 现在 的 某 些 场合 。 例 如 ,一 份 加 
密 之 后 的 电子 邮件 信息 ,如 果 它 在 毒贩 和 其 他 尚未 被 怀疑 的 人 之 间 ,或 者 国防 建设 的 雇员 与 
敌 方 大 使 馆 官员 之 间 传 递 , 显 然 就 包含 某 种 深意 。 

所 以 ,对 通信 安全 的 研究 不 仅 包括 加 密 , 还 包括 以 隐藏 信息 为 根本 的 信息 安全 。 这 一 学 
科 包 含 如 下 一 些 技术 : 发 散 谱 广播 , 它 广泛 用 于 战术 军事 系统 ,目的 是 防止 发 送 者 被 敌 方 定 
位 ;临时 的 移动 用 户 标志 ,用 于 数字 电话 中 ,目的 是 防止 用 户 的 位 置 被 揭发 ;匿名 转发 邮箱 ， 
它 可 以 隐藏 一 份 电子 邮件 的 发 送 者 信息 。 

前 面 讨论 的 各 种 密码 系统 保护 机 密 信息 的 方法 是 将 机 密 信息 加 密 。 加 密 后 的 信息 将 变 
为 不 可 识别 的 乱码 ,但 这 也 提醒 攻击 者 : 这 是 机 密 信息 。 如 何 隐 藏 机 密 信息 的 存在 是 本 章 
要 讨论 的 主要 问题 。 


9.1 信息 隐藏 技术 概述 


采用 传统 密码 学 理论 开发 出 来 的 加 解密 系统 致命 的 缺点 是 明确 地 提示 攻击 者 哪些 是 重 
要 信息 。 随 着 硬件 技术 的 迅速 发 展 , 以 及 基于 网 络 实现 的 具有 并 行 计算 能 力 的 破解 技术 的 
日 益 成 熟 ,传统 的 加 密 算法 的 安全 性 受到 了 严重 挑战 。 

1992 年 ,提出 了 一 种 新 的 关于 信息 安全 的 概念 信息 隐藏 (information hiding) ,即将 
关键 信息 秘密 地 隐藏 于 一 般 的 载体 (图 像 . 声 音 、 视 频 或 一 般 的 文档 ) 中 发 行 或 通过 网 络 传 
递 。 由 于 非法 拦截 者 从 网 络 上 拦截 的 伪装 后 的 关键 信息 并 不 像 传统 加 密 过 的 文件 一 样 , 看 
起 来 是 一 堆 会 激发 非法 拦截 者 破解 关键 信息 动机 的 乱码 ,而 是 看 起 来 和 其 他 非 关 键 性 的 信 
息 无 异 的 明文 信息 ,因而 十 分 容易 逃 过 非法 拦截 者 的 破解 。 

信息 隐藏 是 一 个 和 新 的 研究 领域 , 横 跨 数字 信号 处 理 . 图 像 处 理 、 语 音 处 理 、 模 式 识别 、 
数字 通信 、 多 媒体 技术 和 密码 学 等 多 个 学 科 。 它 把 一 个 有 意义 的 信息 (如 含有 版 权 信息 的 图 
像 ) 通 过 某 种 嵌入 算法 隐藏 到 载体 信息 中 ,从 而 得 到 隐秘 载体 ,非法 者 不 知道 这 个 载体 信息 
中 是 否 隐 藏 了 其 他 的 信息 ,即使 知道 ,也 难以 提取 或 去 除 隐 藏 的 信息 。 信 息 隐 藏 的 载体 通过 
信息 通道 到 达 接 收 方 后 ,接收 方 通过 检测 器 利用 密 钥 从 中 恢复 或 检测 出 隐藏 的 秘密 信息 。 
通常 信息 隐藏 的 载体 可 以 是 文字 、 图 像 .声音 及 视频 等 。 


9.1.1 信息 隐藏 概 述 


信息 隐藏 是 指 在 设计 和 确定 模块 时 ,使 得 一 个 模块 内 包含 的 特定 信息 (过 程 或 数据 ) 对 
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于 不 需要 这 些 信息 的 其 他 模块 来 说 是 透明 的 。 
1. 简介 


“隐藏 ”的 意思 是 ,有 效 的 模块 化 通过 定义 一 组 相互 独立 的 模块 来 实现 ,这 些 独 立 的 模块 
彼此 之 间 仅 仅 交换 那些 为 了 完成 系统 功能 所 必需 的 信息 ,而 将 那些 自身 的 实现 细节 与 数据 
隐藏 起 来 。 信 息 隐藏 为 软件 系统 的 修改 ,测试 及 以 后 的 维护 都 带 来 好 处 。 通 过 抽象 ,可 以 确 
定 组 成 软件 的 过 程 实体 。 通 过 信息 隐藏 ,可 以 定义 和 实施 对 模块 的 过 程 细节 和 局 部 数据 结 
构 的 存 取 限制 。 


2. 发 展 历史 


传统 的 信息 隐藏 起 源 于 古老 的 隐 写 术 。 如 在 古 希 腊 战 争 中 ,为 了 安全 地 传送 军事 情 
报 ,奴隶 主 剃 光 奴 隶 的 头发 ,将 情报 文 在 奴隶 的 头皮 上 , 待 头发 长 起 来 后 再 派出 去 传送 
消息 。 

我 国 古代 也 早 有 以 藏 头 诗 、 藏 尾 诗 、 漏 格 诗 以 及 绘画 等 形式 将 要 表达 的 意思 和 密语 隐藏 
在 诗 文 或 画卷 中 的 特定 位 置 的 方法 ,一 般 人 只 注意 诗 或 画 的 表面 意境 ,而 不 会 去 注意 或 破解 
隐藏 于 其 中 的 密语 。 

信息 隐藏 的 发 展 历史 可 以 一 直 追 溯 到 匿 形 术 (steganography) 的 使 用 。 匿 形 术 一 词 来 源 
于 古 希 腊 文 中 “隐藏 的 "和 “图 形 ” 两 个 词语 的 组 合 。 虽 然 匿 形 术 与 密码 术 (cryptography) 都 
是 致力 于 信息 保密 的 技术 ,但 是 ,两 者 的 设计 思想 却 完全 不 同 。 密 码 术 主要 通过 设计 加 密 技 
术 使 保密 信息 不 可 读 , 但 是 对 于 非 授 权 者 来 讲 , 虽 然 他 无 法 获知 保密 信息 的 具体 内 容 , 却 能 
意识 到 保密 信息 的 存在 。 而 匿 形 术 则 致力 于 通过 设计 精妙 的 方法 ,使 得 非 授权 者 根本 无 从 
得 知 保密 信息 的 存在 与 否 。 相 对 于 现代 密码 学 来 讲 , 信 息 隐 藏 的 最 大 优势 在 于 它 并 不 限制 
对 主 信号 的 存 取 和 访问 ,而 是 致力 于 签字 信号 的 安全 保密 性 。 


3. 现代 应 用 


信息 隐藏 的 优势 决定 了 它 可 广泛 地 应 用 于 电子 交易 保护 .保密 通信 、 版 权 保护 .复制 控 
制 及 操作 跟踪 、 认 证 和 签名 等 各 个 领域 。 

根据 处 理 方法 和 应 用 领域 的 不 同 , 信 息 隐 藏 技术 主要 分 为 数字 水 印 技术 和 隐藏 通信 技 
术 两 大 类 。 其 中 ,版 权 保护 以 及 复制 控制 和 操作 跟踪 等 领域 主要 使 用 信息 隐藏 技术 中 的 数 
字 水 印 技术 ,而 网 络 信息 安全 则 主要 使 用 信息 隐藏 的 另 一 个 分 支 一 -隐藏 通信 技术 。 

例如 ,信息 隐藏 技术 在 以 下 几 个 方面 可 以 得 到 应 用 : 

1) 隐藏 通信 

隐藏 通信 用 于 电子 商务 信息 的 安全 通信 ,保护 嵌入 到 隐 写 载体 中 的 信息 。 采 用 隐藏 通 
信 技 术 将 秘密 商务 信息 隐藏 在 普通 多 媒体 中 传输 。 由 于 网 上 存在 大 量 的 多 媒体 信息 ,使 得 
隐藏 信息 难以 被 盗窃 者 发 现 或 窃取 。 在 电子 商务 中 ,隐藏 通信 可 以 用 于 传输 一 些 机 密 商 务 
信息 。 

2) 数据 保密 

在 互联 网 上 传输 电子 商务 中 的 敏感 信息 ,谈判 双方 的 秘密 协议 和 合同 .网 上 银行 交易 中 
的 敏感 数据 信息 、 重 要 文件 的 数字 签名 和 个 人 隐私 等 数据 ,要 防止 非 授 权 用 户 截获 并 使 用 这 
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些 数据 ,可 以 将 通信 信息 以 信息 隐藏 的 方式 传递 给 对 方 ,这 样 就 能 以 一 种 难以 觉察 的 形式 完 
成 与 对 方 的 通信 。 

3) 数据 的 完整 性 

数据 的 完整 性 主要 是 进行 认证 和 得 改 检测 ,确认 数据 在 网 上 传输 或 存储 过 程 中 并 没 
有 被 自 改 。 即 在 图 像 等 多 媒体 数据 中 事先 嵌入 完整 性 信息 ,然后 在 检测 时 提取 此 信息 ,用 
来 确定 数据 是 否 被 修改 过 。 这 主要 是 用 于 法 庭 . 医 学 .新 闻 、 商 业 和 军事 等 场合 ,尤其 是 在 
军事 上 可 能 出 现 敌 方 伪造 . 算 改 作战 命令 等 严重 问题 。 这 些 都 需要 进行 认证 ,确定 数据 的 
完整 性 。 

4) 版 权 保护 

由 于 数字 作品 具有 易 复制 . 易 修改 的 特点 ,数字 作品 的 版 权 受 到 严重 威胁 。 使 用 数字 
水 印 技术 ,在 多 媒体 内 容 中 嵌入 创建 者 或 所 有 者 的 标识 信息 ,在 发 生 版 权 纠纷 时 ,提取 其 
中 的 水 印 来 验证 版 权 所 有 者 。 用 于 版 权 保护 的 水 印 一 般 称 为 鲁 棒 水 印 , 具 有 很 强 的 重 棒 
性 ,除了 要 求 在 一 般 图 像 处 理 ( 如 滤波 、 加 噪声 .转换 、 压 缩 等 ) 中 生存 外 ,还 需 能 抵抗 一 些 
恶意 攻击 。 

数字 水 印 技术 在 多 媒体 数据 中 嵌入 某 种 不 可 感知 的 信息 对 数字 媒体 进行 标识 ,从 而 达 
到 版 权 保护 作用 以 及 复制 控制 和 操作 跟踪 等 目的 。 在 版 权 保护 中 ,将 版 权 信息 嵌入 到 多 媒 
体 中 (包括 图 像 ,音频 、 视 频 和 文本 ) ,来 达到 标识 、 注 释 以 及 版 权 保护 。 发 展 到 今天 ,数字 水 
印 技术 的 应 用 已 经 比较 成 熟 ,在 流通 货币 邮票, 股票 .产品 的 仿 伪证 书 上 都 得 到 了 应 用 , 主 
要 用 来 辨别 真 伪 。 

数字 水 印 的 主要 应 用 领域 是 以 下 5 个 方面 : 

(1) 版 权 保护 ， 

(2) 加 指纹 

(3) 标题 与 注释 ; 

(4) 算 改 提示 ; 

(5) 使 用 控制 。 € TYD | 

数字 水 印 的 一 类 典型 应 用 是 电视 台 标 志 在 AN 
电视 节目 画面 中 的 嵌入 ,如 图 9. 1 所 示 。 图 91 数字 水 印 的 应 用 一 电视 台 标 志 

5) 数字 指纹 

为 了 避免 数字 产品 被 非法 复制 和 散发 ,作者 可 在 其 每 个 产品 副本 中 分 别 嵌 入 不 同 的 水 
印 ( 称 为 数字 指纹 ) 。 如 果 发 现 了 未 经 授权 的 复制 , 则 通过 检索 指纹 来 追踪 其 来 源 。 在 此 类 
应 用 中 ,水 印 必须 是 不 可 见 的 ,而 且 能 抵抗 恶意 的 擦 除 .伪造 以 及 合谋 攻击 等 。 

6) 使 用 控制 

在 特定 的 应 用 系统 中 ,多 媒体 内 容 需要 特殊 的 硬件 来 复制 和 观看 使 用 ,插入 水 印 来 标识 
允许 的 副本 数 ,每 复制 一 份 ,进行 复制 的 硬件 会 修改 水 印 内 容 ,将 允许 的 副本 数 减 1, 以 防止 
大 规模 的 盗版 。 

7) 内 容 保护 

在 一 些 特定 应 用 中 ,数字 产品 的 所 有 者 可 能 会 希望 要 出 售 的 数字 产品 能 被 公开 自由 地 
预览 ,以 尽 可 能 多 地 招徕 潜在 的 顾客 ,但 也 需要 防止 这 些 预览 的 内 容 被 他 人 用 于 商业 目的 ， 
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因此 ,这 些 预览 内 容 被 自动 加 上 可 见 的 但 同样 难以 除去 的 水 印 。 

8) 票据 防伪 

无 论 是 传统 商务 还 是 电子 商务 ,买卖 双方 都 需要 一 定 的 票据 作为 交易 的 赁 证。 报价 
单 、 还 盘 单 和 订货 单 等 电子 票据 在 电子 商务 中 占据 着 重要 地 位 。 随 着 高 质量 图 像 输入 输 
出 设备 的 发 展 ,使 得 货币 ,支票 以 及 其 他 票据 的 伪造 变 得 更 加 容易 。 在 数字 票据 中 隐藏 的 
水 印 经 过 打印 后 仍然 存在 ,可 以 通过 再 扫描 回 数字 形式 ,提取 防伪 水 印 , 以 证 实 票 据 的 真 
实 性 。 

9) 真实 性 鉴别 

尽管 数字 产品 的 真实 性 鉴别 (认证 ) 可 通过 数字 签名 来 完成 ,但 利用 易 损 水 印 技术 认证 
同 内 容 是 密 不 可 分 的 ,简化 了 处 理 过 程 。 水 印 由 数字 作品 的 内 容 通过 Hash 函数 得 到 ,隐藏 
在 数字 作品 中 。 当 数字 作品 内 容 发 生 改 变 时 ,水 印 会 发 生 一 定 程 度 的 改变 ,从 而 可 以 鉴定 原 
始 数 据 是 否 被 算 改 。 易 损 水 印 对 一 般 图 像 处 理 有 较 强 的 鲁 棒 性 ,同时 要 求 具有 较 强 的 敏感 
性 , 即 允 许 一 定 程度 的 失真 ,又 能 将 失真 情况 探测 出 来 。 

10) 不 可 抵赖 性 

使 用 数字 水 印 技术 ,在 交易 体系 的 任何 一 方 发 送 或 接收 信息 时 ,将 各 自 的 特征 标记 以 
水 印 的 形式 加 入 到 传递 的 信息 中 ,这 种 水 印 应 是 不 能 被 去 除 的 ,以 达到 确认 其 行为 的 
目的 。 

在 网 上 交易 中 ,通过 将 各 自 的 特征 标记 以 不 能 被 去 除 的 水 印 的 形式 加 入 到 传递 的 信息 
中 ,使 得 交易 双方 的 任何 一 方 不 能 抵赖 自己 曾经 做 出 的 行为 ,也 不 能 否认 曾经 接收 到 对 方 的 
信息 ,从 而 达到 确认 其 行为 的 目的 。 

11) 数字 水 印 与 数字 签名 相 结 合 

将 数字 签名 信息 以 数据 形式 隐藏 到 普通 印章 图 像 中 ,与 图 像 合 二 为 一 ,能 够 取得 “ 白 纸 
黑 字 ”的 书面 凭证 ,而 且 可 以 对 纸 质 文 档 进行 签名 。 打 印 后 仍 能 提取 签名 ,使 得 文件 具有 双 
重 安全 效果 。 

根据 隐 写 载体 的 不 同 可 以 分 为 文本 隐 写 .语音 隐 写 .视频 隐 写 和 二 进 制 隐 写 。 随 着 保密 
通信 和 密码 学 等 相关 科学 技术 的 空前 发 展 ,现在 还 有 许多 内 新 的 信息 隐藏 技术 出 现 并 在 实 
践 中 得 到 了 广泛 的 应 用 和 发 展 。 


9.1.2 信息 隐藏 技术 和 传统 的 密码 技术 的 区 别 


密码 技术 主要 是 研究 如 何 将 机 密 信息 进行 特殊 的 编码 ,以 形成 不 可 识别 的 密码 形式 ( 密 
文 ) 进 行 传递 ;对 加 密 通 信和 而 言 ,攻击 者 可 通过 截取 密 文 ,并 对 其 进行 破译 ,或 将 密 文 进行 破 
坏 后 再 发 送 , 从 而 影响 机 密 信息 的 安全 。 

信息 隐藏 主要 研究 如 何 将 某 一 机 密 信息 隐藏 于 另 一 公开 的 信息 中 ,然后 通过 公开 信息 
的 传输 来 传递 机 密 信息 。 对 信息 隐藏 而 言 , 攻 击 者 难以 从 众多 的 公开 信息 中 判断 是 否 存 在 
机 密 信息 ,增加 截获 机 密 信息 的 难度 ,从 而 保证 机 密 信息 的 安全 。 

信息 隐藏 的 基本 思想 起 源 于 古代 的 伪装 术 ( 密 写 术 )。 信 息 隐 藏 不 同 于 传统 的 加 
密 , 其 目的 不 在 于 限制 正常 的 资料 存 取 , 而 在 于 保证 隐藏 数据 不 被 侵犯 和 重视 。 隐 藏 的 
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数据 量 与 隐藏 的 免疫 力 始终 是 一 对 矛盾 ,目前 还 不 存在 一 种 完全 满足 这 两 种 要 求 的 隐 
藏 方法 。 

信息 隐藏 技术 和 传统 的 密码 技术 的 区 别 在 于 : 密码 仅仅 隐藏 了 信息 的 内 容 , 而 信息 隐 
藏 不 但 隐藏 了 信息 的 内 容 , 而 且 隐藏 了 信息 的 存在 。 信 息 隐藏 技术 提供 了 一 种 有 别 于 加 密 
的 安全 模式 。 

信息 隐藏 是 把 一 个 有 意义 的 信息 隐藏 在 另 一 个 称 为 载体 (cover) 的 信息 中 得 到 隐 写 载 
体 (stego cover) 。 如 图 9. 2 所 示 ,非法 者 不 知道 这 个 普通 信息 中 是 否 隐 藏 了 其 他 的 信息 ,而 
且 即 使 知道 ,也 难以 提取 或 去 除 隐 藏 的 信息 。 


载体 
‘人 隐 写 载体 
一 二 | 隐藏 本 | 
11001100110 BS 
01100111000 
111000 载体 
消息 多 
™ 
消息 隐藏 
11001100110 oo 
01100111000 加 密 )3Y@-@ 
111000 + 


图 92 信息 加 密 和 隐藏 的 区 别 


所 用 的 载体 可 以 是 文字 、 图 像 .声音 及 视频 等 。 为 增加 攻击 的 难度 ,也 可 以 把 加 密 与 信 
息 隐 藏 技术 结合 起 来 , 即 先 对 消息 M 加 密 得 到 密 文 消息 M' ,再 把 M 隐藏 到 载体 C 中 。 这 
样 攻击 者 要 想 获得 消息 ,就 首先 要 检测 到 消息 的 存在 ,并 知道 如 何 从 隐蔽 的 载体 S 中 提取 
M' 及 如 何 对 M 解密 以 恢复 消息 M。 


9.1.3 信息 加 密 和 隐藏 的 3 种 模式 


信息 加 密 和 隐藏 可 以 分 为 3 种 模式 : 分 别 是 信息 加 密 模式 、 信 息 隐 藏 模式 和 信息 加 密 
与 隐藏 模式 。 

(1) 信息 加 密 模 式 : 对 信息 进行 加 密 , 使 用 某 种 方式 将 明文 加 密 为 密 文 ,如 图 9. 3 
所 示 。 

(2) 信息 隐藏 模式 : 将 信息 隐藏 在 载体 中 ,形成 带 有 信息 的 隐 写 载体 进行 信息 传输 ,如 
图 9.4 所 示 。 

(3) 信息 加 密 与 隐藏 模式 : 对 信息 进行 加 密 , 然 后 隐藏 在 载体 中 ,形成 带 有 加 密 后 信息 
的 伪装 载体 进行 信息 传输 ,如 图 9.5 所 示 。 
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| 
11000101 #1S%8 芒 # 人 ^ 和 
10100101 | .fF Q&S&a** nn 
00100101 @^&#%$% 00100101 
民 $ 芭 ##*# 
11100100 11100100 
明文 密 文 信息 
图 93 信息 加 密 模式 图 94 信息 隐藏 模式 
载体 


隐 写 载体 


-一 一 | 
一 一 一 | 


11000101 #1$%8R&# 人 ^ 
10100101 so = RNSRR** 
00100101 [as | @^^&#W%S 
11100100 R&IR#** 人 St 
明文 密 文 


图 95 信息 加 密 与 隐藏 模式 


9.1.4 信息 隐藏 的 分 类 


1. 信息 隐藏 技术 的 主要 分 支 
信息 隐藏 技术 的 主要 分 支 与 应 用 如 图 9.6 所 示 。 


信息 隐藏 
| | 

隐蔽 信道 匿名 通信 版 权 标志 
语言 学 中 的 隐 写 术 ”技术 上 的 隐 写 术 鲁 棱 的 版 权 标 志 易 损 水 印 

数字 指纹 数字 水 印 
不 可 见 数字 水 印 可 见 数字 水 印 

图 96 信息 隐藏 技术 的 主要 分 支 与 应 用 
1) 隐蔽 信道 


隐蔽 信道 由 Lampson 定义 为 : 在 多 级 安全 水 平 的 系统 环境 中 (比如 军事 计算 机 系统 )， 
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那些 既 不 是 专门 设计 的 也 不 打算 用 来 传输 信息 的 通信 路 径 称 为 隐蔽 信道 。 
2) 隐 写 术 
隐 写 术 是 关于 信息 隐藏 , 即 不 让 预定 的 接收 者 之 外 的 任何 人 知道 信息 的 传递 事件 (而 不 
只 是 信息 的 内 容 ) 的 一 门 技巧 与 科学 。 
3) 匿名 通信 
匿名 通信 就 是 寻找 各 种 途径 来 隐藏 通信 消息 的 主体 , 即 消息 的 发 送 者 和 接收 者 。Web 应 
强调 接收 者 的 匿名 性 ,而 电子 邮件 用 户 们 更 关心 发 送 者 的 匿名 性 。 
4) 版 权 标志 
版 权 标志 包括 易 损 水 印 和 数字 指纹 .数字 水 印 两 种 鲁 棒 的 版 权 标志 。 


2. 其 他 分 类 方法 


除 以 上 信息 隐藏 技术 的 主要 分 类 方法 外 ,还 有 一 些 按 不 同 标 志 类 型 分 类 的 方法 ,具体 
如 下 : 

(1) 按 载体 类 型 分 类 : 包括 基于 文本 、 图 像 . 声 音 和 视频 的 信息 隐藏 技术 。 

(2) 按 密 钥 分 类 : 若 嵌 入 和 提取 采用 相同 密 钥 , 则 称 为 对 称 隐 藏 算法 ,否则 称 为 公 钥 隐 
藏 算法 。 

(3) 按 葡 入 域 分 类 : 主要 可 分 为 空域 (或 时 域 ) 方 法 及 变换 域 方法 。 

(4) 按 提取 的 要 求 分 类 : 若 在 提取 隐藏 信息 时 不 需要 利用 原始 载体 , 则 称 为 盲 隐藏 , 否 
则 称 为 非 盲 隐藏 。 

(5) 按 保护 对 象 分 类 : 主要 可 分 为 隐 写 术 和 水 印 技术 。 

隐 写 术 的 目的 是 在 不 引起 任何 怀疑 的 情况 下 秘密 传送 消息 ,因此 它 的 主要 要 求 是 不 被 
检测 到 和 大 容量 等 。 

数字 水 印 是 指 嵌 在 数字 产品 中 的 数字 信号 ,可 以 是 图 像 文 字 、 符 号 和 数字 等 一 切 可 以 
作为 标识 和 标记 的 信息 ,其 目的 是 进行 版 权 保护 、 所 有 权证 明 、 指 纹 ( 追 踪 发 布 多 份 副本 ) 和 
完整 性 保护 等 。 


3m 


9.2 信息 隐藏 技术 原理 


信息 隐藏 是 集 多 门 学 科 理论 技术 于 一 身 的 新 兴 技 术 领 域 . 它 利用 人 类 感觉 器 官 对 数字 
信号 的 感觉 元 余 , 将 一 个 信息 隐藏 在 另 一 个 信息 中 。 由 于 隐藏 后 外 部 表现 的 只 是 载体 信息 
的 外 部 特征 , 故 并 不 改变 载体 信息 的 基本 特征 和 使 用 价值 。 

数字 信息 隐藏 技术 已 成 为 信息 科学 领域 研究 的 一 个 热点 。 被 隐藏 的 秘密 信息 可 以 是 文 
字 、 密 码 图像. 图形 或 声音 ,而 作为 宿主 的 公开 信息 可 以 是 一 般 的 文本 文件 数字 图 像 ,数字 
视频 和 数字 音频 等 。 


9.2.1 信息 隐藏 技术 的 组 成 


1. 秘密 信息 和 公开 信息 
待 隐藏 的 信息 称 为 秘密 信息 (secret message) , 它 可 以 是 版 权 信息 或 秘密 数据 ,也 可 以 
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是 一 个 序列 号 ;而 公开 信息 则 称 为 宿主 信息 (cover message, 也 称 载体 信息 ), 如 视频 和 音频 
片段 等 。 

这 种 信息 隐藏 过 程 一 般 由 密 钥 (key) 来 控制 ,通过 能 入 算法 (embedding algorithm ) 将 秘 
密 信息 隐藏 于 公开 信息 中 ,而 隐蔽 宿主 (隐藏 有 秘密 信息 的 公开 信息 ) 则 通过 通信 信道 
(communication channel) 传 递 ,然后 对 方 的 检测 器 (detector) 利 用 密 钥 从 隐 项 宿主 中 恢复 或 
检测 出 秘密 信息 。 


2. 信息 隐藏 技术 的 组 成 


信息 隐藏 技术 主要 由 下 述 两 部 分 组 成 ( 见 图 9. 7) : 
密 铀 窗 铀 


秘密 信息 一 一 = 隐蔽 宿主 一 一 一 秘密 信息 
宿主 信息 一 “~| 。 编码 器 am Ta 宿主 信息 


图 97 信息 隐藏 技术 的 主要 组 成 


(1) 信息 嵌入 算法 (编码 器 ) , 它 利用 密 钥 来 实现 秘密 信息 的 隐藏 。 
(2) 隐蔽 信息 检测 /提取 算法 (检测 器 ), 它 利用 密 钥 从 隐蔽 宿主 中 检测 或 恢复 出 秘密 信 
息 。 在 密 钥 未 知 的 前 提 下 ,第 三 者 很 难 从 隐蔽 宿主 中 得 到 或 删除 甚至 发 现 秘密 信息 。 


3. 信息 隐藏 系统 的 特征 


1) 和 鲁 棒 性 (robustness, 健 壮 性 ) 

鲁 棒 性 指 不 因 宿 主 文 件 的 某 种 改动 而 导致 隐藏 信息 丢失 的 能 力 。 

2) 不 可 检测 性 Cimperceptibility) 

不 可 检测 性 指 隐 蔽 宿主 与 原始 宿主 具有 一 致 的 特性 ,如 具有 一 致 的 统计 噪声 分 布 , 以 便 
使 非法 拦截 者 无 法 判断 是 否 藏 有 隐藏 信息 。 

3) 透明 性 (invisibility) 

利用 人 类 视觉 系统 或 人 类 听觉 系统 的 特性 ,经 过 一 系列 隐藏 处 理 , 使 目标 数据 没有 明显 
的 质量 降低 现象 ,而 隐藏 的 数据 却 无 法 人 为 地 看 见 或 听见 。 

4) 安全 性 

隐藏 的 信息 内 容 应 是 安全 的 ,最 好 经 过 某 种 加 密 后 再 隐藏 ,同时 隐藏 的 具体 位 置 也 应 是 
安全 的 ,至 少 不 会 因 格式 变换 而 遭 到 破坏 。 

5) 自 恢 复 性 

由 于 经 过 一 些 操作 或 变换 后 ,可 能 会 使 原 图 产生 较 大 的 破坏 。 如 果 只 从 留 下 的 片段 数 
据 就 能 恢复 隐藏 信息 ,而 且 恢复 过 程 中 不 需要 宿主 信息 ,这 就 是 所 谓 的 自 恢 复 性 。 

6) 可 纠 错 性 

为 了 保证 隐藏 信息 的 完整 性 ,使 其 在 经 过 各 种 操作 和 变换 后 仍 能 很 好 地 恢复 ,通常 采取 
纠 错 编码 方法 。 


4. 信息 隐藏 的 通用 模型 
信息 隐藏 的 通用 模型 如 图 9. 8 所 示 。 被 隐藏 的 信息 称 为 秘密 信息 ,如 版 权 信 息 、 秘 密 数 
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据 和 软件 序列 号 等 。 而 用 于 隐藏 秘密 信息 的 公开 信息 称 为 载体 信息 ,如 视频 、 图 片 .音频 和 
文本 文件 等 。 


秘密 信息 秘密 信息 
| | 

[ 城 体 信息 | | 谋 入 算法 上 | 通信 信道 | -| ”检测 器 
| 


图 98 信息 隐藏 的 通用 模型 


9.2.2 信息 隐藏 技术 的 分 类 、 基 本 模型 和 关键 技术 


信息 隐藏 将 在 未 来 网 络 中 保护 信息 不 受 破坏 方面 起 到 重要 作用 ,信息 隐藏 是 把 机 密 信 
息 隐 藏 在 大 量 信息 中 不 让 对 手 发 觉 的 一 种 方法 。 信 息 隐 藏 的 方法 主要 有 隐 写 术 、 数 字 水 印 
技术 、 可 视 密码 、 潜 信道 和 隐匿 协议 等 。 


1. 信息 隐藏 分 类 


1) 隐 写 术 

隐 写 术 (steganography) 就 是 将 秘密 信息 隐藏 到 看 上 去 很 普通 的 信息 (如 数字 图 像 ) 中 进 
行 传送 。 现 有 的 隐 写 术 方 法 主要 有 利用 高 空间 频率 的 图 像 数 据 隐藏 信 息 、 采 用 “最 低 有 效 
位 "方法 将 信息 隐藏 到 宿主 信号 中 、 使 用 信号 的 色 度 隐 藏 信息 、 在 数字 图 像 的 像素 亮度 的 统 
计 模 型 上 隐藏 信息 .Patchwork 等 方法 。 当 前 很 多 隐 写 术 是 基于 文本 及 其 语言 的 隐 写 术 , 如 
基于 同义词 替换 的 文本 隐 写 术 , 采 用 中 文 的 同义词 蔡 换 算法 。 其 他 的 文本 的 隐 写 术 还 有 基 
于 文本 格式 隐 写 术 等 。 

2) 数字 水 印 技术 

数字 水 印 技术 (digital watermark) 是 将 一 些 标识 信息 ( 即 数 字 水 印 ) 直 接 嵌 入 数字 载体 
(包括 多 媒体 、 文 档 和 软件 等 ) 当 中 ,但 不 影响 原 载体 的 使 用 价值 ,也 不 容易 被 人 的 知觉 系统 
(如 视觉 或 听觉 系统 ) 觉 察 或 注意 到 。 

目前 主要 有 两 类 数字 水 印 ,一 类 是 空间 数字 水 印 , 另 一 类 是 频率 数字 水 印 。 空 间 数字 水 
印 的 典型 代表 是 最 低 有 效 位 (LSB) 算 法 ,其 原理 是 通过 修改 表示 数字 图 像 的 颜色 或 颜色 分 
量 的 位 平面 ,调整 数字 图 像 中 感知 不 重要 的 像素 来 表达 水 印 的 信息 ,以 达到 嵌入 水 印 的 目 
的 。 频 率 数 字 水 印 的 典型 代表 是 扩展 频谱 算法 ,其 原理 是 通过 时 频 分 析 , 根 据 扩 展 频 谱 特 
性 ,在 数字 图 像 的 频率 域 上 选择 那些 对 视觉 最 敏感 的 部 分 ,使 修改 后 的 系数 隐 含 数字 水 印 的 
信息 。 

数字 水 印 与 加 密 技 术 不 同 ,数字 水 印 技术 并 不 能 阻止 盗版 活动 的 发 生 , 但 它 可 以 判别 对 
象 是 否 受 到 保护 ,监视 被 保护 数据 的 传播 \ 真 伪 鉴 别 和 非法 复制 .解决 版 权 纠纷 并 为 法 庭 提 
供 证 据 。 为 了 给 攻击 者 增加 去 除 水 印 的 难度 ,目前 大 多 数 水 印 制作 方案 都 采用 密码 (包括 公 
开 密 钥 和 私有 密 钥 ) 技 术 来 加 强 , 在 水 印 的 嵌入 和 提取 时 采用 一 种 密 钥 ,甚至 几 种 密 钥 联合 
使 用 。 
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3) 可 视 密码 技术 

可 视 密码 技术 是 Naor 和 Shamir 于 1994 年 首次 提出 的 ,其 主要 特点 是 恢复 秘密 图 像 时 
不 需要 任何 复杂 的 密码 学 计算 ,而 是 以 人 的 视觉 即 可 将 秘密 图 像 辨 别 出 来 。 其 做 法 是 产生 
n 张 不 具有 任何 意义 的 胶片 , 任 取 其 中 1 张 胶片 重合 在 一 起 即 可 还 原 出 隐藏 在 其 中 的 秘密 信 
息 。 其 后 ,人 们 又 对 该 方案 进行 了 改进 和 发 展 。 主 要 的 改进 办 法 有 : 使 产生 的 n 张 胶片 都 
有 一 定 的 意义 ,这 样 做 更 具有 迷惑 性 ;改进 了 相关 集合 的 构造 方法 ;将 针对 黑白 图 像 的 可 视 
秘密 共享 扩展 到 基于 灰 度 和 彩色 图 像 的 可 视 秘密 共享 。 


2. 信息 隐藏 的 基本 模型 


信息 隐藏 技术 主要 内 容 包括 信息 嵌入 算法 和 提取 算法 。 信 息 隐 藏 的 基本 模型 如 图 9. 9 
所 示 。 


密 钥 
生成 器 
嵌入 载体 
对 象 提取 | | 对象 
隐藏 密 角 
_| 堪 入 对 象 | 提取 a 
做 入 过 程 下 过 程 | 黎 入 
对 象 对 象 
隐藏 
载体 ”分 析 者 
对 象 


图 99 信息 隐藏 的 基本 模型 


(1) 嵌入 对 象 : 信息 隐藏 嵌入 过 程 的 输入 内 容 之 一 , 指 需要 隐藏 在 其 他 载体 中 的 对 象 。 
嵌入 对 象 将 在 信息 提取 过 程 中 被 恢复 出 来 ,但 是 由 于 隐藏 对 象 在 传输 过 程 中 有 可 能 受到 隐 
藏 分 析 者 的 攻击 ,提取 过 程 通常 只 能 正确 恢复 原始 信息 嵌入 对 象 的 一 部 分 。 

(2) 载体 对 象 : 指 用 于 隐蔽 被 嵌入 信息 的 载体 ,在 一 些 信息 隐藏 系统 的 提取 过 程 中 也 需 
要 载体 信息 的 参与 。 

(3) 隐藏 对 象 : 嵌入 过 程 的 输出 内 容 , 指 将 被 内 和 对 象 隐 藏 在 载体 对 象 中 之 后 得 出 的 结 
果 。 隐 藏 对 象 应 该 与 载体 对 象 具有 相同 的 形式 ,并且 为 了 达到 不 引 人 注 目的 效果 ,还 要 求 二 
者 之 间 的 差异 是 不 可 感知 的 。 

(4) 密 钥 : 指 在 信息 隐藏 过 程 中 可 能 需要 附加 的 秘密 资料 。 


3. 信息 隐藏 的 关键 技术 


信息 隐藏 的 主要 方法 包括 在 时 间 域 .空间 域 及 变换 域 的 隐藏 ,另外 还 有 基于 文件 格式 和 
载体 生成 技术 的 隐藏 。 信 息 隐 藏 技术 种 类 较 多 ,主要 包括 以 下 几 种 : 

1) 空间 域 法 

在 空间 域 实现 信息 隐藏 ,多 采用 替换 法 。 由 于 人 类 感觉 系统 的 有 限 性 ,对 于 某 些 感觉 变 
化 不 敏感 ,可 直接 用 准备 隐藏 的 信息 来 蔡 换 载体 文件 的 数据 ,但 不 会 影响 到 载体 文件 的 可 
见 性 。 

2) 变换 域 法 

将 信息 隐藏 在 载体 文件 的 重要 位 置 .与 空间 域 方法 相 比 , 它 对 诸如 压缩 修剪 等 处 理 的 
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攻击 鲁 棒 性 更 强 ,一 般 在 正 交 变 换 域 中 进行 ,主要 有 离散 傅 里 叶 变换 (DFT) 域 .离散 余弦 变 
换 (DCT) 域 .离散 小 波 变换 (DWT) 域 和 Mellin-Fourier 变换 域 中 的 信息 隐藏 。 

小 波 域 中 的 信息 隐藏 是 新 的 研究 方向 ,小 波 的 多 分 辩 率 思想 对 根据 鲁 棒 性 和 视觉 效应 
来 设计 一 个 好 的 信息 在 载体 中 的 分 布 方式 ( 即 定位 ) 是 很 有 用 的 。 它 可 以 充分 利用 人 类 的 视 
党 模型 (HVS) 和 听觉 模型 (HAS) 的 一 些 空间 -频率 特性 ,使 嵌入 信息 的 不 可 见 性 和 和 鲁 棒 性 都 
得 到 改善 。 

3) 信道 隐藏 

利用 信道 的 一 些 固有 特性 进行 信息 隐藏 ,主要 包括 在 网 络 模型 中 的 信息 隐藏 和 扩 频 信 
息 隐 藏 。 网 络 模型 中 的 信息 隐藏 是 指 利用 网 络 的 控制 信号 或 通信 协议 等 媒介 中 的 一 些 固定 
空闲 位 置 或 信号 进行 秘密 信息 的 传送 ,以 达到 信息 隐藏 的 目的 。 扩 频 (SS) 通 信 技 术 提供 了 
一 种 低 检测 概率 抗 干扰 的 通信 手段 , 它 使 检测 和 去 除 信号 变 得 困难 ,因而 基于 扩 频 技术 的 嵌 
入 技术 具有 相当 强 的 鲁 棒 性 。 


9.3 匿名 通信 技术 


隐藏 匿名 通信 技术 是 将 秘密 信息 隐藏 于 某 种 公开 的 数字 媒体 中 ,使 秘密 信息 能 够 在 通 
信 网 络 中 安全 传输 的 保密 通信 技术 ,根据 隐 写 载体 的 不 同 可 以 分 为 文本 隐 写 .语音 隐 写 、 视 
频 隐 写 和 二 进 制 隐 写 。 

下 面 介绍 两 种 典型 的 匿名 通信 机 制 。 


1. 源 重 写 技术 


源 重 写 技术 采用 重 路 由 转发 策略 ,发送 者 匿名 。 基 于 中 转 部 件 对 数据 包 包头 的 修改 ,内 
容 的 重新 编码 和 长 度 的 变化 , 源 重 写 技术 可 以 抵抗 一 定 程度 的 匿名 攻击 ,如 图 9. 10 所 示 。 


二 
储存 所 有 输入 


信息 直到 输出 
编码 时 


输 


出 


等 到 有 是 名 的 
在 信 训 | 用户 信息 到 来 


复 信息 的 信息 编码 | “| 


图 910 源 重 写 技术 


[sn 
入 记 


其 缺点 是 增加 了 服务 延迟 ;增加 了 系统 转发 部 件 的 负荷 ,降低 了 有 效 匿名 带宽 ;增加 了 
系统 路 径 选择 和 密 钥 分 发 保存 的 代价 。 


2. Crowds 系统 模型 
A 的 浏览 器 首先 将 Web 服务 请 求 交 给 本 地 的 代理 ,所 经 过 路 径 是 复杂 路 径 , 即 一 个 
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节点 可 能 在 路 径 上 出 现 多 次 。 其 中 转发 路 径 为 A-C-E-D-G-B-E-Web Server, 如 图 9. 11 
所 示 。 


Web Server 


图 911 Crowds 系统 模型 


9.4 数据 隐 写 术 


根据 嵌入 算法 ,可 以 大 致 把 隐 写 术 分 成 以 下 6 类 : 

(1) 替换 系统 : 用 秘密 信息 替代 隐蔽 宿主 的 元 余部 分 。 

(2) 变换 域 技术 : 在 信号 的 变换 域 蔡 入 秘密 信息 (如 在 频 域 ) 。 

(3) 扩展 频谱 技术 : 采用 扩 频 通信 的 思想 。 

(4) 统计 方法 : 通过 更 改 伪装 载体 的 若干 统计 特性 对 信息 进行 编码 ,并 在 提取 过 程 中 采 
用 假设 检验 方法 。 

(5) 失真 技术 : 通过 信号 失真 来 保存 信息 ,在 解码 时 测量 与 原始 载体 的 偏差 。 

(6) 载体 生成 方法 : 对 信息 进行 编码 以 生成 用 于 秘密 通信 的 伪装 载体 。 

隐 写 术 的 一 个 例子 图 9. 12 所 示 。 


(a) 内 含 隐藏 图 像 的 载体 图 像 (b) 隐藏 的 图 像 
图 912 隐 写 术 的 一 个 例子 


图 9. 12(a) 是 一 棵 树 的 照片 ,内 含 了 隐藏 的 图 像 。 如 果 把 每 个 颜色 分 量 和 数字 3 进行 逻 
辑 与 运算 ,再 把 亮度 增强 85 倍 , 即 可 得 到 图 9. 12(b) 。 


载体 文件 (cover file) 相 对 于 隐藏 文件 的 大 小 (指数 据 含量 ,以 比特 计 ) 越 大 ,隐藏 后 者 就 
越 加 容易 。 
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因为 这 个 原因 ,数字 图 像 ( 包 含有 大 量 的 数据 ) 在 互联 网 和 其 他 传媒 上 被 广泛 用 于 隐藏 
消息 。 这 种 方法 使 用 的 广泛 程度 无 从 查考 。 例 如 ,一 个 24 位 的 位 图 中 的 每 个 像素 的 3 个 颜 
色 分 量 ( 红 、 绿 和 蓝 ) 各 使 用 8b 来 表示 。 如 果 只 考虑 蓝 色 的 话 , 就 是 说 有 2 种 不 同 的 数值 来 
表示 深浅 不 同 的 蓝 色 。 而 像 11111111 和 11111110 这 两 个 值 所 表示 的 蓝 色 , 人 有 眼 几乎 无 法 
区 分 ,因此 ,这 个 最 低 有 效 位 就 可 以 用 来 存储 颜色 之 外 的 信息 ,而 且 在 某 种 程度 上 几乎 是 检 
测 不 到 的 。 如 果 对 红色 和 绿色 进行 同样 的 操作 ,就 可 以 在 差不多 3 个 像素 中 存储 一 个 字 节 
的 信息 。 

更 正式 地 说 ,使 隐 写 的 信息 难以 探测 的 ,也 就 是 保证 有效 载荷 ”需要 被 隐藏 的 信号 ) 对 
载体 ( 即 原始 的 信号 ) 的 调制 对 载体 的 影响 看 起 来 (理想 状况 下 其 至 在 统计 上 ) 可 以 忽略 。 这 
就 是 说 ,这 种 改变 应 该 无 法 与 载体 中 的 噪声 加 以 区 别 。 

从 信息 论 的 观点 来 看 ,这 就 是 说 信道 的 容量 必须 大 于 传输 “表面 上 ”的 信号 的 需求 ,这 就 
叫做 信道 的 元 余 。 对 于 一 幅 数 字 图 像 ,这 种 元 余 可 能 是 成 像 单元 的 噪声 ;对 于 数字 音频 ,可 
能 是 录音 或 者 放大 设备 所 产生 的 噪声 。 任 何 有 着 模拟 放大 级 的 系统 都 会 有 所 谓 的 热 噪声 
(或 称 1/f 噪声 ) ,这 可 以 用 作 掩 饰 。 另 外 ,有 损 压 缩 技 术 ( 如 JPEG) 会 在 解压 后 的 数据 中 引 
人 一 些 误差 ,利用 这 些 误差 作 隐 写 术 用 途 也 是 可 能 的 。 

隐 写 术 也 可 以 用 作 数 字 水 印 , 这 里 一 条 消息 (往往 只 是 一 个 标识 符 ) 被 隐藏 到 一 幅 图 像 
中 ,使 得 其 来 源 能 够 被 跟踪 或 校 验 。 


9.4.1 替换 系统 


1. 最 低 比 特 位 蔡 换 


最 低 比特 位 替换 (LSB) 是 最 早 被 开发 出 来 的 ,也 是 使 用 最 为 广泛 的 替换 技术 。 黑 白 图 
像 通常 用 8b 来 表示 每 一 个 像素 (pixel) 的 明亮 程度 , 即 灰 阶 值 C(gray-value) 。 

彩色 图 像 则 用 3B 来 分 别 记录 RGB 三 种 颜色 的 亮度 。 将 信息 嵌入 至 最 低 比 特 , 对 宿主 
图 像 (cover-image) 的 图 像 品 质 影响 最 小 ,其 说 入 容量 最 多 为 图 像 文 件 大 小 的 1/8。 

(1) 每 个 文件 只 能 非 压缩 地 存放 一 幅 彩 色 图 像 。 

(2) 文件 头 由 54B 的 数据 段 组 成 ,其 中 包含 该 位 图 文件 的 类 型 ,大 小 .尺寸 及 打印 格 
式 等 。 

(3) 从 第 55 个 字 节 开始 ,是 该 文件 的 图 像 数 据 部 分 ,数据 的 排列 顺序 以 图 像 的 左下 角 
为 起 点 ,每 连续 3B 便 描 述 图 像 一 个 像素 点 的 颜色 信息 ,这 3B 分 别 代表 蓝 、 绿 、 红 三 基色 在 此 
像素 中 的 亮度 。 例 如 某 连 续 3B 为 00H,00H,FFH, 则 表示 该 像素 的 颜色 为 纯 红 色 。 

RGB(0,0,255) 
RGB(0,0,254) 
RGB(0,0.248) 

一 幅 24 位 BMP 图 像 由 54B 的 文件 头 和 图 像 数据 部 分 组 成 ,其 中 文件 头 不 能 隐藏 信息 ， 
从 第 55 字 节 开始 为 图 像 数 据 部 分 ,可 以 隐藏 信息 。 图 像 数 据 部 分 由 一 系列 的 8 位 二 进 制 数 
( 字 节 ) 所 组 成 ,每 个 8 位 二 进 制 数 中 1 的 个 数 或 者 为 奇数 或 者 为 偶数 。 我 们 约定 : 若 一 个 字 
节 中 1 的 个 数 为 奇数 , 则 称 该 字 节 为 奇 性 字 节 ,用 1 表示 ; 若 一 个 字 节 中 1 的 个 数 为 偶数 , 则 
称 该 字 节 为 偶 性 字 节 ,用 0 表示 。 我 们 用 每 个 字 节 的 奇偶 性 来 表示 隐藏 的 信息 。 
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例如 , 设 一 段 24 位 BMP 文件 的 数据 为 : 

01100110， 00111101， 10001111, 00011010, 00000000， 
10101011, 00111110， 10110000 

1) 奇偶 性 调整 

以 上 字 节 的 奇偶 排序 为 : 0,1,1,1,0,1,1,1。 现 在 需要 隐藏 信息 79,79 转化 为 8 位 二 进 
制 数 为 01001111 ,将 这 两 个 数列 相 比较 , 发 现 第 3.4、5 位 不 一 致 ,于 是 对 这 段 24 位 BMP 文 
件数 据 的 某 些 字 节 的 奇偶 性 进行 调整 ,使 其 与 79 转化 的 8 位 二 进 制 数 相 一 致 

第 3 位 : 将 10001111 变 为 10001110 ,该 字 节 由 奇 变 为 偶 。 

第 4 位 : 将 00011010 变 为 00011011 ,该 字 节 由 奇 变 为 偶 。 

第 5 位 : 将 00000000 变 为 00000001, 该 字 节 由 偶 变 为 奇 。 

经 过 这 样 的 调整 ,此 24 位 BMP 文件 数据 段 字 节 的 奇偶 性 便 与 79 转化 的 8 位 二 进 制 数 
完全 相同 ,这样 ,8B 便 隐 藏 了 1B 的 信息 。 

2) 信息 嵌入 BMP 文件 

综 上 所 述 ,将 信息 嵌入 BMP 文件 的 步骤 为 : 

(1) 将 待 隐藏 信息 转化 为 二 进 制 数据 流 。 

(2) 将 BMP 文件 图 像 数 据 部 分 每 个 字 节 的 奇偶 性 与 上 述 二 进 制 数据 流 进行 比较 。 

(3) 通过 调整 字 节 最 低位 的 0 或 1 改变 字 节 的 奇偶 性 ,使 之 与 上 述 二 进 制 数 据 流 一 致 ， 
即将 信息 嵌入 到 24 位 BMP 图 像 中 。 

3) 信息 提取 

信息 提取 是 把 隐藏 的 信息 从 伪装 媒体 中 读 取 出 来 ,其 过 程 正 好 与 信息 嵌入 相反 

(1) 判断 BMP 文件 图 像 数 据 部 分 每 个 字 节 的 奇偶 性 , 若 字 节 中 1 的 个 数 为 偶数 , 则 输 
出 0; 若 字 节 中 1 的 个 数 为 奇数 , 则 输出 1 。 

(2) 每 判断 8 个 字 节 , 便 将 输出 的 8 位 数组 成 一 个 二 进 制 数 ( 先 输出 的 为 高 位 ) 。 

(3) 经 过 上 述 处 理 , 得 到 一 系列 8 位 二 进 制 数 , 便 是 隐藏 信息 的 代码 ,将 代码 转换 成 文 
本 、 图 像 和 声音 ,就 是 隐藏 的 信息 。 

4) 嵌入 容量 阀 值 

由 于 原始 24 位 BMP 图 像 文件 隐藏 信息 后 ,其 字 节 数值 最 多 变化 1( 因 为 是 在 字 节 的 最 
低位 加 1 或 减 1) ,该 字 节 代表 的 颜色 浓度 最 多 只 变化 了 1/256 。 

嵌入 信息 的 数量 与 所 选取 的 载体 图 像 的 大 小 成 正比 。 

提高 最 低 比 特 位 蔡 换 法 容量 的 方法 有 两 种 : 

(1) 固定 增加 每 个 像素 的 替换 量 。 每 个 像素 都 替换 3b 的 信息 时 ,人 有 眼 仍然 很 难 察觉 出 
异样 。 但 直接 艇 入 4b 的 信息 时 ,在 图 像 灰 阶 值 变化 和 缓 的 区 域 (smooth area) 就 会 出 现 一 些 
假 轮廓 (false contouring) 。 

(2) 先 考虑 每 个 像素 本 身 的 特性 ,再 决定 要 在 该 像素 中 嵌入 多 少 比 特 的 信息 量 。 


2. 基于 调 色 板 的 图 像 


对 一 幅 彩 色 图 像 ,为 了 节省 存储 空间 ,人 们 将 图 像 中 最 具 代表 性 的 颜色 组 选取 出 来 , 利 
3B 分 别 记录 每 个 颜色 的 RGB 值 , 并 且 将 其 存放 在 文件 的 头 部 ,这 就 是 调 色 板 。 

然后 针对 图 像 中 每 个 像素 的 RGB 颜色 值 ,在 调 色 板 中 找到 最 接近 的 颜色 ,记录 其 索引 
值 (index) 。 调 色 板 的 颜色 总 数 若 为 256, 则 需要 用 1B 来 记录 每 个 颜色 在 调 色 板 中 的 索引 
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值 ( 仅 是 这 点 就 可 节省 2/3 的 存储 空间 ) 。 

早期 ,信息 被 隐藏 在 彩色 图 像 的 这 个 调 色 板 中 ,利用 调 色 板 中 颜色 排列 的 次 序 来 表示 幅 
入 的 信息 。 由 于 这 种 方法 并 没有 改变 每 个 像素 的 颜色 值 ,只 是 改变 调 色 板 中 颜色 的 排列 号 ， 
因此 ,嵌入 信息 后 的 伪装 图 像 与 原始 图 像 是 一 模 一 样 的 。 

这 种 方法 嵌入 的 信息 量 很 小 ,能 够 嵌入 的 信息 最 多 为 调 色 板 颜色 的 总 数 。 

有 些 图 像 处 理 软件 在 产生 调 色 板 时 ,为 了 减少 搜寻 调 色 板 的 平均 时 间 , 会 根据 图 像 本 身 
的 特性 调整 调 色 板 颜色 的 排列 次 序 , 自 然 会 暴露 出 嵌入 的 行为 。 

一 种 可 行 的 调 色 板 方法 如 下 (如 图 9. 13 所 示 ) : 


原始 调 色 板 新 调 色 板 
索引 值 | 颜色 值 (RGB) 索引 值 | 颜色 值 (RGB) 
000 黑 000 白 
001 红 001 黄 
010 白 010 淡 红 
011 淡 红 011 红 
100 黄 100 黑 


@—— 


913 一 种 可 行 的 调 色 板 方法 


(1) 复制 一 份 调 色 板 , 依 颜色 的 亮度 排序 。 

(2) 找 出 欲 嵌 入 信息 的 像素 颜色 值 在 新 调 色 板 中 的 索引 值 。 

(3) 取出 一 个 比特 的 信息 ,将 其 嵌入 至 新 索引 值 的 最 低 比 特 (LSB) 。 
(4) 取出 嵌入 信息 后 的 索引 值 之 颜色 RGB 值 。 

(5) 找 出 这 个 RGB 值 在 原始 调 色 板 中 的 索引 值 。 

(6) 将 这 个 像素 的 索引 值 改 成 步骤 (5) 找 到 的 索引 值 。 


图 片 A 


9.4.2 变换 域 技术 


最 低 比 特 蔡 换 技 术 的 缺点 就 是 蔡 换 的 信息 完全 没有 和 鲁 棒 性 ,而 变换 域 技术 则 相对 比较 
强壮 , 它 是 在 载体 图 像 的 显著 区 域 隐藏 信息 , 比 LSB 方法 能 够 更 好 地 抵抗 攻击 。 

目前 有 许多 变化 域 的 隐藏 方法 ,一 种 方法 是 使 用 离散 余弦 变换 (DCT) 作 为 手段 在 图 像 
中 嵌入 信息 ,还 有 使 用 小 波 变换 的 方法 。 


1. 压缩 步骤 


JPEG 图 像 压 缩 标准 属于 区 块 (block-based) 压 缩 技 术 , 每 个 区 块 大 小 为 8X8 像素 ,由 左 
而 右 、 由 上 而 下 依 序 针对 每 个 区 块 分 别 去 做 压缩 。 下 面 简 单 地 以 灰 阶 图 像 模 式 来 说 明 , 其 压 
缩 步骤 如 下 : 

(1) 将 区 块 中 每 个 像素 灰 阶 值 都 减 去 128。 

(2) 将 这 些 值 利用 DCT 变换 得 到 64 个 系数 。 
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(3) 将 这 些 系数 分 别 除 以 量化 表 中 相对 应 的 值 ,并 将 结果 四 舍 五 人 。 
(4) 二 维 排列 的 64 个 量化 值 ,使 用 zigzag 的 次 序 ( 如 表 6-1) 转 成 一 维 的 排序 方式 。 


(5) 最 后 再 将 一 串 连续 0 配 上 一 个 非 0 量化 值 , 当 成 一 个 符号 (symbol) ,用 Huffman 码 
来 编码 。 


2. JPEG 文件 嵌入 与 取出 系统 流程 
JPEG 文件 戏 入 与 取出 系统 流程 图 如 图 9. 14 所 示 。 


8x8 区 块 
减 去 128 
1 
DCT 变 换 
1 
量化 信息 
信息 一 |。 谋 入 信息 提取 信息 。 | 
Huffman 编 码 Hufiman 解 码 ”| 
JPEG 文 件 JPEG 文 件 


图 914 JPEG 文 件 嵌 入 与 取出 系统 流程 图 


9.4.3 对 隐 写 术 的 攻击 


对 隐 写 术 的 攻击 和 分 析 有 多 种 形式 , 即 检测 提取 和 混淆 破坏 (攻击 者 在 隐藏 信息 上 进 
行 伪造 与 覆盖 ,使 隐藏 信息 无 效 ) 。 

1. 检测 隐藏 信息 

寻找 明显 的 、 重 复 的 模式 ,并 将 原始 载体 与 伪装 图 像 进 行 比较 。 

2. 提取 隐藏 信息 

采取 不 同 的 检测 技术 提取 隐藏 信息 。 

3. 破坏 隐藏 信息 

使 用 有 损 压 缩 ` 扭 曲 ` 旋 转 、 模 糊 化 和 加 入 噪音 等 不 同方 式 破坏 隐藏 信息 。 


9.5 隐蔽 信道 


军用 通信 系统 不 断 拓展 信息 安全 技术 的 使 用 ,他 们 不 仅仅 是 使 用 加 密 技 术 来 加 密 一 条 
消息 的 内 容 , 还 力图 隐藏 消息 的 发 送 者 和 接收 者 ,甚至 是 消息 本 身 的 存在 。 同 样 的 技术 也 使 
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在 移动 电话 系统 和 电子 选举 方案 中 。 犯 罪 分 子 将 之 用 于 现 有 的 通信 系统 ,而 警方 则 试图 
限制 他 们 的 使 用 。 


1. 隐蔽 信道 的 定义 


隐蔽 信道 由 Lampson 定义 为 : 在 多 级 安全 水 平 的 系统 环境 中 (比如 军事 计算 机 系统 )， 
那些 既 不 是 专门 设计 的 也 不 打算 用 来 传输 信息 的 通信 路 径 称 为 隐蔽 信道 。 

在 信息 隐藏 领域 ,隐蔽 信道 特 指 系统 存在 的 一 些 安全 漏洞 ,通过 某 些 非 正常 的 访问 控制 
操作 ,能够 形成 隐秘 数据 流 , 如 图 9. 15 所 示 ,而 基于 正常 安全 机 制 的 软 硬 件 则 不 能 觉察 和 有 
效 控制 。 


~ 


部 瀛 涉 


1 隐蔽 信道 1 


图 915 隐蔽 信道 


当 这 些 信道 在 为 某 一 程序 提供 服务 时 ,可 以 被 一 个 不 可 信赖 的 程序 用 来 向 其 操纵 者 汇 
漏 信息 ,如 IP 包 的 时 间 戳 。 计 算 机 系统 中 存在 的 安全 漏洞 也 可 以 被 利用 作为 隐蔽 信道 传递 
信息 。 


2. 创建 隐蔽 信道 的 方法 


创建 隐蔽 信道 的 方法 一 般 是 : 间谍 侵入 合法 用 户 和 受 保护 的 数据 库 的 数据 通道 ,通过 
服务 程序 截获 与 下 载 受 保护 的 数据 ,具体 模式 用 图 9. 16 举例 解释 如 下 。 


起 


1 合法 用 户 


服务 程序 


受 保护 的 数据 
图 916 创建 隐蔽 信道 的 方法 


隐蔽 信道 本 质 上 是 信息 传输 通道 ,传输 机 制 的 研究 重点 集中 在 对 传输 介质 的 研究 。 根 
据 共享 资源 属性 的 不 同 ,传输 介质 分 为 存储 类 型 和 时 间 类 型 ,由 此 衍生 出 存储 隐蔽 信道 和 时 
间 隐 项 信道 的 分 类 。 

在 操作 系统 、 数 据 库 和 网 络 系统 中 都 存在 存储 隐蔽 信道 和 时 间 隐 项 信道 。 
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1) 间谍 程序 检查 通道 中 传输 的 文件 
间谍 在 隐蔽 信道 中 使 用 间谍 程序 检查 文件 信道 中 传输 的 文件 是 否 上 锁 , 以 便 进行 截获 。 


在 文件 上 锁 信 道 (file lock channel) 中 ,文件 上 锁 表示 为 1 ,解锁 表示 为 0, 合 法 用 户 一 般 不 会 
有 所 觉察 。 合 法 用 户 和 间谍 所 看 见 的 界面 如 图 9. 17 所 示 。 
间谍 所 见 


是 否 上 锁 ? 
间谍 的 程序 


合法 用 户 所 见 


文件 上 锁 (1) 


变 件 


这 


文件 未 上 锁 (0) 


受 保护 的 数据 


图 917 合法 用 户 和 间谍 所 见 到 的 界面 


2) 隐蔽 信道 特点 
服务 程序 和 间谍 程序 需要 共享 一 些 资源 ,并 协调 好 时 间 间 隔 。 间 谍 程 序 按照 文件 上 锁 


表示 为 1 ,解锁 表示 为 0 来 判断 是 否 需要 检查 合法 用 户 传输 的 文件 ,如 图 9. 18 所 示 。 


存在 ? 
创建 (1) 二 E ] 
建 文件 | 名 .1 间谍 的 程序 


在 ? 
不 创建 (0) 了 间谍 的 程序 
否 : 0 


图 918 间谍 程序 检查 合法 用 户 传输 的 文件 


3. 隐蔽 信道 分 析 
对 于 安全 信息 系统 来 说 ,机 密 信息 的 泄漏 将 会 造成 无 法 挽回 的 损失 。 对 于 隐蔽 信道 这 
种 危害 性 极 强 的 信息 泄漏 途径 ,必须 做 到 提前 预防 .尽早 发 现 及 时 处 理 ,以 保证 信息 的 


安全 。 
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随 着 对 隐蔽 信道 研究 的 逐步 深入 ,隐蔽 信道 分 析 技 术 也 逐渐 成 熟 。 为 了 保证 系统 安全 ， 
降低 隐蔽 信道 的 危害 ,未 来 的 系统 开发 应 该 更 注重 设计 阶段 的 形式 化 描述 ,从 源头 上 减 小 隐 
项 信道 发 生 的 可 能 性 。 同 时 ,要 规范 系统 实现 过 程 ,严格 按照 形式 化 描述 , 尽 最 大 可 能 消除 
代码 中 引入 的 潜在 隐蔽 信道 。 

1) 隐蔽 信道 标识 

隐蔽 信道 标识 就 是 搜索 系统 中 可 能 存在 的 隐蔽 信道 ,并 进行 标识 。 一 个 隐蔽 信道 可 以 
用 一 个 三 元 组 表示 : 二 V; PA, PV>,V 表示 共享 变量 ;PA 表示 对 共享 变量 V 进行 写 操作 
的 TCB 原 语 ;PV 表示 对 共享 变量 V 进行 读 操作 的 TCB 原 语 。 

常用 的 隐蔽 信道 标识 方法 主要 有 文法 信息 流 分 析 和 共享 资源 矩阵 方法 两 种 。 这 两 种 方 
法 各 有 优 缺 点 ,目前 共享 资源 矩阵 方法 应 用 更 为 普遍 。 

2) 识别 潜在 的 隐蔽 信道 

识别 潜在 的 隐蔽 信道 使 用 以 下 两 种 模式 : 

(1) 共享 资源 矩阵 方式 : 

所 有 进程 共享 资源 并 判定 哪些 进程 具有 对 这 些 资源 的 读 写 权限 。 

(2) 信息 流 方 式 : 

程序 语法 的 信息 流 分 析 技 术 。 可 以 利用 编译 器 自动 找 出 隐藏 的 .不 明显 的 信息 流 ,可 以 
看 出 哪些 输出 受 了 哪些 输入 的 影响 。 

在 操作 系统 、 数 据 库 或 者 网 络 中 发 现 一 种 共享 资源 作为 隐蔽 信道 的 传输 介质 ,是 隐蔽 信 
道 传输 机 制 的 核心 ,而 好 的 传输 介质 的 选择 能 够 提高 信道 的 容量 和 隐匿 性 。 


4. 隐蔽 信道 处 理 


对 隐蔽 信道 的 处 理 , 一 般 采 取 以 下 3 种 方法 : 消除 隐蔽 信道 .带宽 限制 .审计 隐藏 信道 
的 使 用 。 

1) 消除 隐蔽 信道 

为 了 消除 系统 中 的 隐蔽 信道 ,必须 对 系统 的 设计 和 实现 进行 修改 。 这 些 修 改 包括 通过 
为 每 一 个 共享 者 预先 分 配 所 需要 的 最 大 资源 ,或 者 为 每 一 个 安全 级 别 划分 出 相应 的 资源 ,从 
而 消除 可 能 造成 隐蔽 信道 的 资源 共享 ,消除 引起 隐蔽 信道 的 接口 功能 和 机 制 。 

2) 带宽 限制 

带宽 限制 就 是 要 降低 隐蔽 信道 的 最 大 值 或 者 平均 值 , 以 使 得 任何 一 个 隐蔽 信道 的 带宽 
限制 在 一 个 预先 定义 的 可 接受 的 范围 内 。 

限制 隐蔽 信道 带宽 的 方法 主要 有 : 

(1) 故意 在 信道 中 引入 噪声 。 例 如 ,对 共享 变量 使 用 随机 分 配 算法 ,共享 变量 一 般 包 括 
共享 表 的 索引 、 磁 盘 区 域 和 进程 标识 等 。 

(2) 以 随机 方式 引入 无 关 的 进程 修改 隐蔽 信道 的 变量 。 

(3) 在 每 一 个 真实 隐蔽 信道 的 TCB 原 语 中 故意 引入 延 时 。 

3) 审计 隐蔽 信道 的 使 用 

通过 审计 ,能 够 对 隐蔽 信道 的 使 用 者 起 到 威慑 的 作用 。 

对 隐蔽 信道 的 审计 ,要 求 记录 足够 多 的 数据 ,以 能 够 标识 个 别 隐 项 信道 的 使 用 或 者 某 一 
类 型 隐蔽 信道 的 使 用 ;标识 个 别 隐蔽 信道 或 者 某 一 类 型 隐蔽 信道 的 发 送 者 和 接收 者 。 此 外 
还 要 求 必 须发 现 所 有 对 隐蔽 信道 的 使 用 ,应 该 避免 虚假 的 隐蔽 信道 使 用 记录 。 
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一 旦 审计 跟踪 分 析 确 定 了 一 个 隐蔽 信道 的 使 用 ,那么 对 于 这 个 隐 项 信道 进行 真实 的 带 
宽 估 算是 可 能 的 ,也 是 需要 的 。 注 意 ,通常 情况 下 ,不 可 能 根据 审计 跟踪 发 现 通 过 隐蔽 信道 
泄漏 的 实际 信息 ,因为 用 户 能 够 对 数据 进行 加 密 。 同 时 ,仅仅 通过 检查 审计 跟踪 ,没有 办 法 
区 别 泄漏 的 是 真实 信息 还 是 噪声 信息 。 

对 于 形式 化 描述 中 已 发 现 但 是 无 法 彻底 消除 的 潜在 隐蔽 信道 ,必须 加 入 审计 机 制 , 并 尽 
可 能 将 其 限制 在 系统 能 够 容忍 的 范围 内 。 对 于 已 经 存在 的 系统 (例如 安全 网 络 系统 中 ) 的 隐 
项 信道 的 研究 应 该 更 注重 对 现 有 系统 的 审计 与 检测 ,发 现 被 应 用 的 隐蔽 信道 并 及 时 反馈 以 
采取 进一步 的 消除 和 限制 措施 。 隐 项 信道 本 质 上 是 一 种 通信 信道 ,隐蔽 信道 的 研究 已 经 实 
现 了 从 程序 到 单机 、 从 单机 到 网 络 的 飞跃 ,即使 在 云 计算 平台 中 仍然 存在 着 隐蔽 信道 的 
威胁 。 

网 络 隐蔽 信道 已 经 成 为 当前 信息 安全 的 热点 研究 领域 。 与 传统 的 单机 隐蔽 信道 相 比 ， 
网 络 隐蔽 信道 更 容易 受到 网 络 延迟 和 网 络 抖动 等 噪音 的 影响 ,因此 ,网 络 隐蔽 信道 的 编码 、 
传输 和 解码 技术 以 及 同步 机 制 将 会 是 未 来 一 段 时 期 的 研究 重点 。 


9.6 版 权 标志 和 数字 水 印 


版 权 保护 以 及 复制 控制 和 操作 跟踪 等 领域 主要 使 用 信息 隐藏 技术 中 的 数字 水 印 技术 ， 
而 网 络 信息 安全 则 主要 使 用 信息 隐藏 的 另 一 个 分 支 隐藏 通信 技术 。 

数字 水 印 技术 是 指 将 创作 者 的 创作 信息 和 个 人 标志 通过 数字 水 印 系统 以 人 所 不 可 感知 
的 水 印 形式 嵌入 在 多 媒体 中 ,人 们 无 法 从 表面 上 感知 水 印 , 只 有 专用 的 检测 器 或 计算 机 软件 
才 可 以 检测 出 隐藏 的 数字 水 印 , 从 而 用 以 证 明 创 作者 对 其 作品 的 所 有 权 , 并 作为 鉴定 .起诉 
非法 侵权 的 证 据 , 同 时 通过 对 水 印 的 检测 和 分 析 保证 数字 信息 的 完整 可 靠 性 ,从 而 成 为 知识 
产权 保护 和 数字 多 媒体 防伪 的 有 效 手段 。 通 常 ,水印 会 永久 地 驻 留 在 图 像 中 ,在 必要 的 时 候 
通过 专门 的 检测 算法 检测 水 印 , 以 确认 所 有 权 和 跟踪 侵权 行为 。 

随 着 多 媒体 技术 和 计算 机 网 络 的 飞速 发 展 ,数字 产品 的 版 权 和 信息 安全 问题 日 益 受 到 
关注 。 数 字 水 印 技术 正 是 适应 这 一 要 求 发 展 起 来 的 ,与 信息 伪装 技术 相 比 ,数字 水 印 是 为 了 
保护 数字 产品 的 版 权 , 对 数字 产品 加 载 所 有 者 的 水 印信 息 , 以 便 在 产品 的 版 权 产生 纠纷 时 作 
为 证 据 。 而 信息 伪装 技术 是 指 把 不 便于 公开 的 信息 通过 信息 伪装 算法 加 载 到 可 以 公开 的 信 
息 载体 中 去 ,在 信息 的 接收 方 使 用 提取 算法 恢复 出 被 伪装 的 信息 。 

前 者 是 为 了 保护 载体 数字 产品 的 版 权 , 而 后 者 则 是 为 了 被 伪装 信息 的 安全 与 保密 。 


9.6.1 数字 水 印 的 特点 


数字 水 印 技术 (digital watermark) 是 将 一 些 标识 信息 ( 即 数字 水 印 ) 直 接 做 入 数字 载体 
(包括 多 媒体 ,文档 和 软件 等 ) 当 中 ,但 不 影响 原 载 体 的 使 用 价值 ,也 不 容易 被 人 的 知觉 系统 
(如 视觉 或 听觉 系统 ) 觉 察 或 注意 到 。 

它 是 通过 在 原始 数据 中 做 和 秘密 信息 一 一 水 印 (watermark) 来 证 实 该 数据 的 所 有 权 ,而 
且 并 不 影响 宿主 数据 的 可 用 性 。 不 同 的 应 用 对 数字 水 印 的 要 求 是 不 尽 相同 的 ,一 般 认 为 数 
字 水 印 应 具有 如 下 特点 。 
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1. 有 效 性 (effectiveness) 


如 果 把 一 件 作品 输入 检测 器 得 到 一 个 肯定 结果 ,人 们 就 可 以 将 这 个 作品 定义 为 含水 印 
作品 。 基 于 此 定义 ,水 印 系统 的 有 效 性 就 可 定义 为 嵌入 器 的 输出 含有 水 印 的 概率 。 在 一 些 
情况 下 ,水印 系统 的 有 效 性 可 以 通过 分 析 确 定 ,也 可 以 根据 在 大 型 测试 图 像 集合 中 嵌入 水 印 
的 实际 结果 确定 。 只 要 集合 中 的 图 像 数 目 足 够 大 而 且 相 同 应 用 场合 下 的 图 像 分 布 类 似 , 输 
出 图 像 中 检测 出 水 印 的 百分比 就 可 近似 为 有 效 的 概率 。 


2. 逼真 度 (Cfidelity) 


一 般 说 来 ,水 印 系统 的 逼真 度 是 指 原始 作品 同 其 嵌入 水 印 版 本 之 间 的 感官 相似 度 。 但 
如 果 含 水 印 作 品 在 被 人 们 观赏 之 前 ,在 传输 过 程 中 质量 有 所 退化 ,那么 应 该 使 用 另 一 种 逼真 
度 定 义 。 可 以 将 其 定义 为 在 消费 者 能 同时 得 到 含水 印 的 作品 和 不 含水 印 作 品 的 情况 下 这 两 
件 作品 之 间 的 感官 相似 度 。 


3. 数据 容量 


数据 容量 是 指 在 单位 时 间或 一 幅 作品 中 能 嵌入 水 印 的 比特 数 。 对 一 幅 照 片 而 言 , 数 据 
容量 指 嵌 入 在 此 幅 图 像 中 的 比特 数 。 对 音频 而 言 , 数 据 容量 即 指 在 一 秒 钟 的 播放 时 间 中 所 
嵌入 的 比特 数 ;对 视频 而 言 , 数 据 容量 即 可 以 指 一 帧 中 府 入 的 比特 数 , 也 可 以 指 一 秒 内 向 入 
的 比特 数 。 


4. 盲 检测 与 明 检 测 (blind and informed detection) 


需要 原始 不 含水 印 的 副本 参与 的 检测 器 称 为 明 检 测 器 。 这 个 名 称 也 可 以 指 那 些 只 需要 
少量 原始 作品 的 遗留 信息 而 不 需要 整 件 原始 作品 参与 的 检测 器 。 而 不 需要 原始 作品 任何 信 
息 的 检测 器 称 作 盲 检测 器 。 水 印 系 统 使 用 盲 检测 器 还 是 使 用 明 检 测 器 决定 了 它 是 否 适合 某 
一 项 具体 应 用 。 明 检测 器 只 能 够 用 于 那些 可 以 得 到 原始 作品 的 场合 。 


5. 虚 检索 


虚 检 率 是 指 在 不 含水 印 的 作品 中 检测 到 水 印 的 概率 。 关 于 这 个 概率 存在 两 种 定义 ,区 
别 在 于 作为 随机 变量 的 是 水 印 还 是 作品 。 在 第 一 种 定义 下 , 虚 检 率 指 在 给 定 一 件 作品 和 随 
机 选择 定 的 多 个 水 印 的 情况 下 ,检测 器 报告 作品 中 发 现 水 印 的 概率 。 在 第 二 种 定义 下 , 虚 检 
率 指 在 给 定 一 个 水 印 和 随机 选 定 的 多 个 作品 的 情况 下 ,检测 器 报告 作品 中 发 现 水 印 的 概率 。 
大 多 数 应 用 中 ,人 们 对 第 二 种 定义 下 的 虚 检 率 更 感 兴趣 。 但 在 少数 应 用 中 ,第 一 种 定义 也 同 
样 重要 ,例如 在 交易 跟踪 场合 ,在 给 定 作品 的 情况 下 检测 一 个 随机 水 印 ,常会 发 生 虚 假 的 盗 
版 指控 。 


6. 鲁 棒 性 (robustness) 


和 鲁 棒 性 是 指 含水 印 作品 在 经 过 常规 信号 处 理 操作 后 仍 能 够 检测 到 水 印 的 能 力 。 针 对 图 
像 的 常规 操作 有 空间 滤波 有 损 压 缩 、 打 印 与 复印 和 几何 变形 (旋转 、 缩 放 、 裁 剪 .平移 及 其 
他 ) 等 。 在 某 些 情况 下 , 鲁 棒 性 毫 无 用 处 甚至 应 该 极力 避免 ,例如 易 损 水 印 , 用 于 真 伪 鉴 别 的 
水 印 就 应 该 是 易 损 的 , 即 对 图 像 作 任何 处 理 操作 都 会 将 水 印 破坏 掉 。 在 另 一 类 极端 的 应 用 
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中 ,水 印 必 须 对 任何 不 至 于 破坏 含水 印 作品 的 畸变 都 具有 重 棒 性 。 
7. 安全 性 


安全 性 表现 为 水 印 能 够 抵抗 恶意 攻击 的 能 力 。 恶 意 攻击 指 任何 意 在 破坏 水 印 功 用 的 行 
为 。 通 常 可 以 把 攻击 分 为 3 类 : 非 授 权 去 除非 授权 嵌入 和 非 授权 检测 。 非 授权 去 除 和 非 
授权 艇 和 会 改动 含水 印 作 品 , 因 而 可 以 看 作 主 动 攻击 ;而 非 授 权 检测 不 会 改动 含水 印 作品 ， 
可 以 看 作 被 动 攻击 。 非 授权 去 除 是 指 通过 攻击 使 得 作品 中 的 水 印 无 法 检测 。 非 授权 嵌 和 人 是 
指 在 作品 中 嵌入 本 不 该 含有 的 非法 水 印信 息 , 是 一 种 伪造 。 非 授权 检测 可 以 按照 严重 程度 
分 为 3 个 级 别 : 最 严重 的 级 别 为 对 手 检测 并 破译 了 肉 入 的 信息 ;次 严重 的 攻击 为 对 手 检测 
出 了 水 印 , 并 辨认 出 了 每 一 点 印记 ,但 不 能 破译 这 些 印 记 的 含义 ; 非 严 重 的 攻击 为 对 手 可 以 
确定 水 印 的 存在 , 却 不 能 够 对 消息 进行 破译 ,也 无 法 分 辨 出 嵌入 点 。 

为 了 提高 水 印 系 统 的 安全 性 , 除 改 进 算法 之 外 ,还 可 以 使 用 加 密 技 术 。 理 想 情况 下 ,如 
果 密 钥 未 知 , 即 使 水 印 算法 已 知 , 也 不 可 能 检测 出 作品 中 是 否 含有 水 印 。 由 于 在 嵌入 和 检测 
过 程 中 使 用 的 密 钥 同 密码 术 中 的 密 钥 所 提供 的 安全 性 不 同 , 人 们 经 常 在 水 印 系统 中 使 用 两 
种 密 钥 ,消息 编码 时 使 用 一 个 密 钥 ,嵌入 过 程 则 使 用 另 一 个 密 钥 ,分 别称 为 水 印 生成 密 钥 和 
嵌入 密 钥 。 

图 9. 19 显示 了 原始 图 像 在 加 入 水 印 后 受到 攻击 ,随后 使 用 改进 算法 提取 水 印 的 过 程 。 


(a) 原始 图 像 (b) 水 印 


(©) 裁剪 攻击 (d) 传统 方法 提取 的 水 印 (e) 放大 水 印 噪声 。 (f) 改进 算法 提取 的 水 印 
图 919 水 印 受到 攻击 后 用 改进 算法 提取 水 印 


在 实际 应 用 时 ,常常 还 需要 考虑 到 水 印 的 耗费 。 对 水 印 岩 入 器 和 检测 器 的 部 署 作 经 济 
考虑 是 件 十 分 复杂 的 事情 , 它 取 决 于 所 涉及 的 商业 模式 。 从 技术 观点 看 ,主要 涉及 水 印 嵌 人 
和 检测 过 程 的 速度 以 及 需要 用 到 的 嵌入 器 和 检测 器 的 数目 。 


9.6.2 数字 水 印 的 主要 应 用 领域 


1. 版 权 保护 


在 版 权 保护 中 ,将 版 权 信 息 嵌 入 到 多 媒体 中 (包括 图 像 . 音 频 、 视 频 和 文本 等 ) 来 达到 标 
识 、 注 释 以 及 版 权 保 护 的 目的 。 数 字 服 务 ( 如 数字 图 书馆 、 数 字 图 书 出 版 数字 电视 和 数字 新 
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闻 等 ) 提 供 数字 作品 ,具有 易 修改 、 易 复制 的 特点 ,通过 信息 隐藏 技术 中 的 水 印 技术 ,可 以 用 
一 种 不 引起 被 保护 作品 感知 上 退化 、 又 难以 被 未 授权 用 户 删除 的 方法 向 数字 作品 中 嵌入 一 
个 标记 ,被 嵌入 的 水 印 可 以 是 一 段 文字 、 标 识 或 序列 号 等 , 它 与 原始 数据 紧密 结合 并 隐藏 于 
其 中 ,并 可 以 经 历 一 些 不 破坏 源 数据 使 用 价值 或 商用 价值 的 操作 而 保存 下 来 。 通 常 这 种 水 
印 是 不 可 见 或 不 可 察觉 的 ,而 在 有 关 版 权 的 法 律 纠纷 中 ,如 果 图 像 的 版 权 所 有 者 事先 现 已 加 
入 了 水 印 , 则 可 利用 掌握 的 密 钥 从 图 像 中 提取 出 水 印 , 证 明 自己 的 知识 产权 ,从 而 有 效 地 维 
护 自己 的 权益 。 

水 印 的 提出 是 为 了 解决 版 权 保护 问题 , 它 潜在 的 机 制 是 在 数字 多 媒体 数据 中 嵌入 水 印 ， 
以 查 明 版 权 拥 有 者 。 如 果 发 现 了 一 个 非法 的 副本 ,版 权 拥有 者 就 可 以 通过 验证 他 艇 入 的 水 
印 而 在 法 庭 上 起 诉 非法 使 用 者 。 

商业 应 用 中 最 明显 的 一 个 例子 是 1996 年 2 月 美国 Adobe System 公司 首先 在 图 像 处理 
软件 Adobe Photoshop 4. 0 中 采用 美国 Digimarc 公司 的 技术 加 入 了 数字 水 印 模块 ,起 到 版 
权 保 护 的 功能 。 当 用 户 打 开 一 幅 图 像 并 启用 Digimark 应 用 程序 ,Digimark 的 水 印 探测 器 将 
识别 水 印 。 然 后 与 远程 数据 库 连接 ,并 将 水 印 作 为 密 钥 去 寻找 版 权 拥有 者 和 他 的 联系 信息 。 
一 个 诚实 的 用 户 可 以 使 用 该 信息 向 版 权 拥有 者 发 出 请 求 ,请求 允许 使 用 版 权 者 的 图 像 。 

上 述 例子 已 经 表明 了 利用 水 印 技术 怎样 鉴别 版 权 所 有 者 。 然 而 ,水 印 的 诱 人 之 处 在 于 
它 不 仅 能 鉴别 版 权 所 有 者 ,而且 能 证 明 实 际 所 有 者 。 我 们 可 以 设想 以 下 情景 : 一 个 版 权 拥 
有 者 首先 分 发 他 的 含水 印 作品 ,在 版 权 发 生 纠 纷 的 情况 下 ,合法 拥有 者 应 该 能 够 通过 他 所 拥 
有 的 原始 作品 证 实 他 的 所 有 权 , 但 是 纠纷 恰恰 来 源 于 含水 印 的 原始 作品 。 

如 果 攻 击 者 能 够 得 到 含水 印 的 原始 作品 和 检测 器 ,那么 他 就 可 以 想 办 法 发 现 并 去 除 水 
印 ( 如 敏感 性 分 析 攻 击 ) ,然后 用 自己 的 水 印 取代 它 。 即 使 不 能 去 除 原 始 水 印 ,在 特定 的 条 件 
下 也 可 以 在 含水 印 作 品 中 加 入 另外 一 个 水 印 。 

如 果 攻 击 者 在 作品 中 加 入 第 二 个 水 印 , 那 么 版 权 拥 有 者 和 攻击 者 都 可 以 声称 他 拥有 版 
权 。 在 某 些 情况 下 ,使 用 原始 的 作品 来 查证 ,可 以 防止 发 生 多 种 所 有 权 问 题 。 然 而 存在 这 种 
可 能 ,如 果 水 印 算法 是 可 逆 的 ,那么 攻击 者 就 会 出 示 他 自己 伪造 的 原始 作品 。 

这 种 情况 下 ,原始 拥有 者 和 攻击 者 各 有 一 个 含 不 同 水 印 的 原始 作品 ,没有 人 能 够 证 明 自 
己 拥 有 版 权 , 这 在 水 印 领域 被 称 为 死 锁 问题 。 因 此 为 了 保证 版 权 保护 服务 ,水印 算法 应 该 是 
不 可 逆 的 ;而 且 , 它 还 应 该 有 一 个 基于 可 信任 第 三 方 的 详细 的 协议 做 后 盾 。 


2. 广播 监视 


电视 网 络 中 也 遍布 着 许多 有 价值 的 产品 ,如 那些 被 路 透 社 (Reuters) 和 美 联 社 
(Associated Press) 卖 掉 的 新 闻 ,其 价值 甚至 超过 十 万 美元 。 法 国 在 直播 2002 年 世界 杯 足球 
赛 韩国 对 日 本 的 比赛 时 ,30 秒 的 广告 就 要 支付 10 万 欧元 的 费用 ;如 果 是 法 国 队 的 比赛 ,同样 
的 广告 要 支付 22 万 欧元 。 整 个 电视 市 场 价值 数 十 亿美 元 ,很 容易 出 现 侵犯 知识 产权 的 行 
为 。 因 此 ,需要 建立 一 个 广播 监视 系统 ,以 监听 所 有 的 广播 渠道 。 这 将 有 助 于 作品 版 权 所 有 
者 的 所 有 物 不 会 被 侵权 电台 非法 转播 ,并 且 有 助 于 每 一 个 广告 客户 确认 是 否 占有 全 部 从 广 
播 公司 购买 的 广告 时 段 。 

一 种 技术 含量 较 低 的 广播 监视 方法 是 让 观察 人 员 监 视 广 播 并 记录 他 们 看 见 或 听见 的 内 
容 。 然 而 这 种 方法 代价 高 且 容 易 出 现 错误 ,因此 迫切 需要 用 自动 监视 形式 取代 它 。 被 动 监 
视 系统 直接 识别 广播 内 容 , 有 效 地 模拟 观察 人 员 ;主动 监视 系统 则 依赖 于 和 内 容 一 起 被 广播 
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的 相关 联 的 信息 , 即 随同 内 容 一 起 传播 的 计算 机 可 识别 的 鉴定 信息 。 

主动 监视 要 比 被 动 监 视 简单 易 行 。 鉴 别 信号 直接 进行 可 靠 解码 ,不 需要 数据 库 解 释 它 
的 含义 。 应 用 主动 监视 系统 的 一 种 途径 是 把 鉴别 信号 放 到 广播 信号 的 独立 区 域 。 例 如 , 模 
拟 电 视 广播 允许 在 视频 信号 的 纵向 空白 间隔 (VBD 中 编码 数字 信息 。 这 部 分 信和 号 在 帧 与 帧 
之 间 发 送 , 对 图 片 不 会 有 丝毫 影响 。 对 主动 监视 而 言 ,水 印 显 然 是 加 密 鉴别 信息 的 可 选 方 
案 。 水 印 具 有 其 本 身 存在 于 内 容 之 中 这 一 优点 , 优 于 广播 信号 中 特定 片段 的 使 用 ,因此 它 与 
广播 设备 的 安装 基础 完全 协调 一 致 

其 主要 缺点 是 戏 和 过程 比 在 VBI 或 头 文件 中 安放 数据 更 复杂 ;而 且 人 们 会 担心 水 印 可 
能 降低 作品 的 视觉 或 听觉 质量 ,尤其 是 内 容 创作 者 更 是 如 此 。 不 过 ,许多 公司 还 是 提供 了 基 
于 水 印 的 广播 监视 服务 。 欧 洲 的 ESPRIT 项 目 VIVA (Visual Identity Verification 
Auditor) 已 经 证 明了 把 数字 水 印 用 在 专业 的 电视 广播 监视 系统 中 的 可 行 性 ,项 目 研究 者 采 
用 一 项 实时 的 水 印 技术 来 提供 卫星 的 主动 监测 服务 ,该 水 印 技术 中 水 印 检测 算法 的 复杂 性 
适中 ,足以 能 够 同时 监测 多 家 电台 。 


3. 操作 跟踪 


互联 网 的 普及 使 得 人 们 很 容易 获得 版 权 作品 。 当 一 个 用 户 想 获 得 一 个 视频 剪辑 或 者 一 
幅 图 像 ,最 简单 的 方法 就 是 登录 互联 网 ,并 使 用 一 种 常用 的 点 对 点 系统 ,如 Napster、KaZaA、 
Morpheus 和 eMule。 如 果 分 布 在 世界 各 地 的 数 千 台 计 算 机 同时 登录 ,那么 存储 的 数字 多 媒 
体内 容 将 立即 被 访问 。 因 此 ,一 些 人 经 常 下 载 和 观看 最 新 的 好 莱 坞 电影 ,而 这 些 电影 还 没有 
在 他 们 的 国家 放映 。 这 必 将 造成 版 权 所 有 者 损失 大 量 的 版 税 。 

法 律 已 经 采取 行动 禁止 这 类 分 布 式 系统 ,但 是 当 Napster 公司 受到 法 律 制裁 的 时 候 , 其 
他 两 个 同类 的 系统 又 出 现 了 。 关 键 的 问题 不 在 于 点 对 点 系统 ,倘若 只 有 合法 的 数据 在 这 种 
分 布 式 网 络 中 传播 , 那 它 将 是 一 个 很 好 的 工具 。 

问题 是 敌手 可 以 在 不 经 允许 的 情况 下 得 到 版 权 作 品 。 操 作 跟 踪 的 基本 思想 是 当 一 个 非 
法 副本 被 发 现时 可 以 鉴别 敌手 并 在 法 庭 上 起 诉 他 。 为 了 避免 数字 产品 非法 复制 和 散发 , 作 
者 可 在 每 个 产品 副本 中 分 别 嵌 入 不 同 的 水 印 ( 称 为 数字 指纹 ) 。 如 果 发 现 了 未 经 授权 的 副 
本 , 则 通过 检索 指纹 来 追踪 其 来 源 。 在 此 类 应 用 中 ,水 印 必须 是 不 可 见 的 ,而 且 能 够 抵抗 恶 
意 的 擦 除 、 伪 造 以 及 合谋 攻击 等 。 

目前 ,人 们 看 电视 的 途径 正在 改变 。 由 于 视频 流 变 得 越 来 越 普遍 ,因此 有 必要 找 出 一 种 
保护 数字 视频 内 容 的 有 效 方 法 ,数字 水 印 显然 是 一 种 很 好 的 候选 方法 。PPV(Pay-Per- 
View) 和 VOD(Video-On-Demand) 是 现实 生活 中 针对 视频 流 的 两 个 应 用 ,在 这 两 个 应 用 中 ， 
数字 水 印 可 以 用 来 完成 数字 指纹 的 功能 ,消费 者 的 ID 被 嵌入 到 传输 的 视频 数据 中 ,以 追踪 
任何 打破 用 户 许 可 协议 的 用 户 。 

在 PPV 环境 下 ,一 个 视频 服务 器 多 点 传送 一 些 视频 ,上 且 所 有 消费 者 只 连接 到 这 台 服 务 
器 以 获取 视频 ,视频 服务 器 是 被 动 的 。 在 给 定 的 时 间 点 , 它 发 送 相同 的 视频 流 给 多 个 用 户 。 
有 文献 提出 , 当 视频 流 被 转播 的 时 候 , 给 每 个 网 络 元 素 ( 如 路 由 器 和 节点 ) 嵌 入 一 个 水 印 ,由 
此 产生 的 水 印 可 以 跟踪 视频 流 ,这 种 方案 需要 网 络 供应 商 的 支持 。 在 VOD 框架 中 ,视频 服 
务 器 是 主动 的 。 它 从 消费 者 那 得 到 一 个 请 求 并 发 送 视频 ,是 一 种 多 路 单一 广播 机 制 。 这 时 
视频 服务 器 可 以 插入 水 印 以 识别 消费 者 ,因为 每 个 连接 只 针对 一 个 消费 者 。 

操作 跟踪 的 另 一 个 例子 是 针对 分 发 的 电影 原始 底片 。 在 制 片 过 程 中 ,每 天 的 摄影 结果 
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常 分 发 给 大 量 的 制作 人 员 。 虽 然 这 些 原始 底片 高 度 保密 ,但 偶然 还 是 会 有 原始 底片 泄露 给 
出 版 社 。 当 此 种 情况 发 生 后 , 制 片 组 应 该 快速 地 设法 查 明 泄露 者 。 制 片 组 可 使 用 银幕 边缘 
的 可 见 文 本 来 鉴别 原始 底片 的 每 份 副本 。 然 而 ,水 印 显然 更 好 一 些 , 因 为 文本 太 容 易 被 
去 掉 。 


4. 内 容 认证 


目前 ,每 天 都 会 有 大 量 的 视频 数据 被 分 发 到 互联 网 上 ; 越 来 越 多 的 摄像 机 被 安装 在 公共 
场合 进行 监控 。 然 而 ,网 上 也 出 现 了 许多 视频 编辑 软件 ,他 们 可 以 很 容易 地 对 视频 进行 编 
辑 ,使 视频 内 容 不 再 可 靠 。 例 如 在 一 些 国家 ,监控 的 视频 剪辑 不 能 在 法 庭 上 当 作 证 据 使 用 ， 
因为 它 是 不 可 信赖 的 。 

当 有 些 人 通过 邮件 发 送 不 同 寻常 的 视频 ,我 们 不 可 能 确定 它 是 原件 还 是 骗局 。 因 此 ,要 
采用 认证 技术 来 确保 视频 内 容 的 真实 性 ,并 防止 算 改 。 当 一 个 消费 者 通过 电子 商务 购买 了 
一 个 视频 内 容 , 如 果 他 想 确认 该 视频 内 容 来 自 合法 的 厂商 还 是 自 改 后 的 内 容 , 那 么 就 要 使 用 
该 技术 。 最 早 是 使 用 密码 术 对 数据 进行 认证 的 。 但 是 这 种 方法 只 能 用 于 完全 认证 ,并 不 适 
用 于 多 媒体 数据 。 在 视频 传输 或 剪辑 中 ,少量 比特 的 改变 不 会 造成 原作 实质 上 的 改变 ,一 个 
典型 的 例子 是 无 线 通信 环境 下 的 数据 加 品 。 在 多 媒体 领域 的 认证 被 称 为 内 容 认 证 。 

在 视频 监控 应 用 中 ,研究 人 员 正 在 不 断 努 力 改善 监控 技术 的 性 能 ,如 连续 有效 地 监控 ， 
降低 花费 ,距离 的 可 靠 控制 等 。 然 而 ,在 实际 情况 中 一 些 问题 不 得 不 考虑 ,比如 在 法 庭 上 如 
何 证 明 视频 监控 数据 的 真实 性 。 确 实 , 由 于 大 量 编辑 软件 的 存在 ,使 得 数字 视频 失去 了 其 价 
值 ,因此 证 明 数 据 的 真实 性 是 非常 必要 的 。 

一 个 好 的 解决 方案 是 首先 产生 视频 数据 的 简短 摘要 ,然后 用 非 对 称 密 钥 加 密 产生 的 摘 
要 生成 签名 ,并 用 水 印 直接 把 签名 嵌入 到 视频 数据 中 。 

解决 此 问题 有 两 种 主要 的 途径 : 

(1) 利用 易 损 或 半 易 损 水 印 。 尽 管 这 种 水 印 可 以 抵抗 诸如 有 损 压缩 等 无 意 操 作 , 但 是 
当 有 人 进行 恶意 算 改 时 , 它 还 是 会 发 生变 化 ,如 利用 背景 信息 代替 罪犯 的 面部 信息 。 

(2) 利用 鲁 棒 水 印 技术 在 视频 流 中 隐藏 签名 ,将 视频 流 与 隐藏 的 签名 进行 比较 ,可 以 检 
测 出 任何 自 改 。 

数字 水 印 可 以 当 作 确 保 数据 真实 性 的 一 项 候选 技术 。 然 而 ,相对 于 密码 技术 而 言 数 字 
水 印 技术 发 展 的 还 不 够 成 熟 ,将 来 的 研究 还 需 回答 一 些 开 放 性 的 问题 (如 水 印 的 安全 级 别 
等 )。 


5. 访问 控制 


1996 年 DVD 和 DVD 播放 器 出 现在 市 场 上 ,这 项 新 技术 因 其 可 以 提供 高 质量 的 视频 信 
号 而 受到 消费 者 的 欢迎 。 然 而 , 随 着 电子 技术 的 高 速 发 展 , 数 字 视 频 很 容易 被 复制 ,这 正 是 
版 权 拥有 人 所 关心 的 。 国 际 版 权 保护 技术 工作 组 (CCPTWG) 的 成 立 就 是 为 了 研究 防止 数字 
视频 ,特别 是 DVD 产品 被 私自 复制 的 技术 问题 。CPTWG 在 过 去 的 几 年 中 已 成 功 地 研制 出 
DVD 防 复制 系统 的 主要 部 分 ,而 且 这 种 DVD 防 复制 系统 将 注定 成 为 DVD 事实 上 的 标准 之 
一 。 虽 然 CPTWG 无 权 要 求 用 户 端 必须 采取 这 种 保护 措施 ,但 由 于 被 保护 的 DVD 视盘 必 
须 进行 加 扰 ,所 以 不 符合 “标准 ”的 设备 是 无 法 正常 播放 其 内 容 的 。 

CPTWG 的 系统 不 断 发 展 ,内 容 加 扰 系统 (CSS) 是 三 萎 公 司 研制 的 对 MPEG-2 视频 流 
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进行 加 扰 的 措施 。 它 是 一 种 较 复杂 的 密 钥 技术 。 密 钥 分 别 存储 在 DVD 视盘 的 导入 区 和 节 
目 肩 段 的 头 部 ,解码 时 通过 专用 芯片 对 密 钥 进行 解码 之 后 再 对 视频 流 内 容 进行 解 扰 ;模拟 信 
号 防护 系统 (APS) 是 美国 Macrovision 公司 开发 的 一 种 对 模拟 电视 信号 进行 改造 ,从 而 防止 
光盘 上 的 数字 化 影音 信号 被 转录 为 VHS 模拟 信号 的 新 型 技术 。 它 在 电视 信号 中 加 入 伪 水 
平 同 步 脉 冲 , 从 而 影响 VCR 的 自动 增益 控制 系统 (AGC) ,使 录像 机 录 下 的 图 像 呈 现 忽 亮 忽 
暗 的 变化 ,无 法 观看 。 

但 由 于 TV 对 AGC 反应 较 慢 ,所 以 仍 能 正常 播放 光盘 机 输出 的 电视 图 像 ;复制 管理 系 
统 (CGMS) 技 术 仅 在 MPEG 视频 流 头 部 加 入 几 个 比特 ,用 来 标识 三 种 状态 :“ 自 由 复制 ”、 
“禁止 复制 "和 “一 次 复制 ”; 在 PC 总 线 上 进行 秘密 通信 (由 5 家 厂商 联合 研制 , 称 为 5C) 是 提 
供 安全 保障 的 通信 系统 。 它 可 使 符合 CPTWG 建议 的 设备 通过 计算 机 总 线 交 换 密 钥 以 互相 
传输 加 密 数 据 , 而 防止 其 他 设备 对 秘密 信息 的 非法 解密 。5C 系统 是 随 着 计算 机 高 速 总 线 
(如 IEEE 1394) 的 出 现 发 展 起 来 的 , 它 的 潜在 使 用 场合 是 将 未 经 压缩 的 视频 信息 由 视盘 放 
像 机 或 机 顶 盒 向 监视 器 传送 。 

我 们 假定 市 场 上 有 3 种 类 型 的 DVD 盘 片 ,经 CSS 加 扰 的 合法 DVD 产品 只 能 在 符合 
“标准 ”的 设备 上 播放 。 由 于 不 含 解 扰 密 钥 ,经 CSS 加 扰 的 盗版 DVD 盘 片 不 能 在 任何 光盘 
播放 机 上 播 出 。 但 那些 经 过 解 扰 的 非法 复制 的 盘 片 却 可 以 在 任何 设备 上 播放 ,目前 市 场 上 
这 种 盘 片 比例 较 大 。CGMS 系统 用 来 控制 盘 片 的 复制 次 数 。 但 非 标准 的 DVD 播放 设备 可 
以 轻易 地 去 掉 MPEG 视频 流 头 部 中 的 这 些 比特 ,使 复制 盘 片 不 再 受到 任何 限制 。 这 时 完全 
可 以 利用 各 种 翻录 设备 生产 出 没有 CSS 或 CGMS 保护 的 DVDRAM。APS 可 防止 将 视盘 
节目 翻录 到 VHS 录像 带 上 ,而 5C 系统 确保 视频 流 只 能 在 标准 数字 显示 器 上 显示 。 

它们 目前 的 应 用 领域 还 比较 窜 ,车 播放 设备 输出 的 为 模拟 RGB 信号 ,那么 盗版 者 完全 
可 以 利用 合适 的 翻录 设备 制造 出 不 含 任何 保护 措施 的 DVD 盘 片 。 综 上 所 述 ,DVD 防 复制 
系统 还 存在 一 些 缺 陷 。 该 缺陷 会 导致 大 量 盗版 产品 的 出 现 , 因 为 非法 复制 的 盘 片 可 被 任何 
用 户 设 备 播放 或 翻录 。 而 应 用 水 印 技术 可 弥补 上 述 缺 陷 。 

两 类 应 用 水 印 技术 的 模块 被 加 入 到 DVD 防 复制 系统 中 ,分 别 是 记录 控制 与 回放 控制 。 
记录 控制 取代 了 CGMS 的 功能 。 它 利用 水 印 的 鲁 棒 性 将 CGMS 数据 保护 起 来 ,保证 复制 控 
制 比特 不 会 被 轻易 除去 ,从 而 有 效 防止 因 消除 有 关 数 据 而 引起 的 非法 复制 。 

引入 回放 控制 的 优点 在 于 : 如 盗版 者 成 功 地 生成 了 不 含 CSS 密 钥 信息 的 非法 DVD- 
RAM 复制 ,由 于 水 印 仍 存在 于 这 一 拷贝 中 ,符合 标准 的 光盘 播放 机 将 会 读 出 受 水 印 保护 的 
复制 控制 信息 并 根据 RAM 盘 片 本 身 的 特点 做 出 拒绝 回放 的 判断 。 这 就 将 这 种 非法 盘 片 的 
市 场 限 制 在 拥有 非 标准 播放 设备 的 用 户 中 ,而 非 标准 播放 设备 不 能 播放 合法 的 正版 DVD 
光盘 。 

6. 指纹 


指纹 ,也 可 以 看 做 是 文档 跟踪 。 传 统 的 文档 跟踪 的 依据 是 纸 质 文档 上 所 加 盖 的 收发 文 
的 印章 ,通过 印章 中 的 相应 栏目 记录 发 件 人 和 收 件 人 , 此 标记 随 文档 的 复制 而 复制 传播 如 
果 发 现 文件 超 范围 使 用 和 流传 , 可 以 方便 地 通过 记 有 收发 件 人 名 称 的 印记 找到 责任 人 。 

随 着 电子 技术 的 应 用 ,条 码 和 二 维 条 码 也 应 用 到 了 文档 跟踪 管理 工作 中 。 特 别 是 二 维 
条 码 的 应 用 ,由 于 其 存储 容量 大 ,可 以 记录 中 文字 符 编码 ,使 得 文件 管理 工作 的 质量 和 效率 
得 到 很 大 的 提高 。 
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然而 ,上 述 可 视 化 的 文档 跟踪 技术 或 手段 本 身 是 相对 脆弱 的 ,难以 抵抗 复印 时 故意 的 庶 
项 或 覆盖 。 因 为 ,文件 的 内 容 是 窃取 的 对 象 ,而 出 于 文件 可 读 性 的 考虑 ,印章 和 条 码 通常 是 
加 盖 在 文件 空白 处 的 ,因此 复印 时 完全 可 以 遮蔽 去 除 而 对 文件 内 容 不 产生 实质 的 影响 ,因而 
这 些 传统 的 文件 跟踪 手段 的 可 靠 性 存在 很 大 的 问题 。 

而 采用 数字 水 印 技术 在 文档 中 嵌入 授权 使 用 人 员 或 单位 的 标记 , 利用 文件 正文 内 容 的 不 
可 覆盖 性 的 特点 ,同时 保证 收发 文 信息 在 复制 后 仍然 存在 ,使 得 一 旦 发 现 文档 为 不 应 获取 的 人 
员 得 到 后 , 可 根据 所 对 和 人 的 标记 信息 找到 文档 失控 的 责任 人 ,提供 调查 和 责任 认定 的 依据 。 


7. 内 容 标志 
插入 的 水 印信 息 可 以 构成 一 个 注释 ,提供 有 关 数 字 产 品 内 容 的 进一步 的 信息 。 
8. 防伪 


商务 活动 中 的 各 种 票据 的 防伪 也 是 信息 隐藏 技术 的 用 武之 地 。 在 数字 票据 中 隐藏 的 水 
印 经 过 打印 后 仍然 存在 ,可 以 通过 再 扫描 数字 形式 提取 防伪 水 印 ,以 证 实 票据 的 真实 性 。 使 
用 数字 水 印 将 可 以 避免 诈骗 犯罪 ,不 给 犯罪 分 子 以 可 乘 之 机 。 


9.6.3 数字 水 印 的 分 类 


数字 水 印 从 感 观 上 分 为 可 见 水 印 (Perceptible Watermarking) 和 不 可 见 水 印 (Imperceptible 
Watermarking) 两 种 。 

可 见 水 印 是 盔 加 于 数字 产品 中 、 可 被 人 感知 的 水 印 。 主 要 用 于 声明 数字 产品 的 来 源 、 著 
作 权 和 所 有 权 。 可 见 水 印 存在 于 作品 中 在 某 种 程度 上 降低 了 作品 的 观赏 和 使 用 价值 ,使 其 
使 用 相对 受到 限制 。 

不 可 见 数字 水 印 是 深 藏 在 数字 产品 中 ,不易 被 人 感知 的 ,只 能 用 计算 机 来 识别 和 读 取 的 
水 印 。 不 可 见 水 印 深 藏 于 数字 产品 中 ,不 妨碍 和 破坏 原作 品 的 欣赏 价值 和 使 用 价值 ,相对 可 
见 水 印 应 用 层次 更 高 ,应 用 领域 更 广 , 制 作 技术 难度 也 更 大 。 

可 以 按照 不 同 的 标准 对 数字 水 印 进行 分 类 : 


1. 水 印 载体 分 类 


从 水 印 的 载体 上 可 以 分 为 静止 图 像 水 印 .视频 水 印 .声音 水 印 .文档 水 印 和 黑白 二 值 图 
像 水 印 。 


2. 外 观 分 类 

从 外 观 上 可 分 为 可 见 水 印 和 不 可 见 水 印 (更 准确 地 说 应 是 可 察觉 水 印 和 不 可 察觉 水 印 ) 。 
3. 水 印加 载 方法 

从 水 印加 载 方法 是 否 可 疼 上 可 分 为 可 逆 、 非 可 逆 、 半 可 逆 和 非 半 可 逆水 印 。 

4. 用 户 密 钥 分 类 

根据 采用 的 用 户 密 钥 的 不 同 可 分 为 私 钥 (secret-key) 水 印 和 公 钥 (public-key) 水 印 。 
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5. 抗 破坏 能 力 


根据 数字 水 印 在 抗 破坏 能 力 上 的 区 别 可 分 为 鲁 棒 水 印 和 易 损 水 印 两 种 : 

(1) 鲁 棒 水 印 (robust watermarking) 主要 用 于 数字 产品 的 版 权 保护 , 其 特点 是 经 过 一 
般 的 图 像 处 理 ( 如 滤波 和 压缩 等 ) 后 仍 能 保证 水 印 的 完整 性 ,同时 还 能 抵抗 一 些 恶 意 的 攻击 。 
利用 这 种 技术 ,在 数字 产品 中 嵌入 所 有 者 的 标识 信息 和 购买 者 的 标识 信息 (如 同 软件 的 序列 
号 ) ,在 发 生 版 权 纠纷 时 ,所 有 者 的 信息 用 于 标识 数据 的 版 权 所 有 ,而 购买 者 的 信息 用 于 标识 
违反 协议 ,为 盗版 者 提供 源 数据 的 用 户 。 

(2) 易 损 水 印 (fragile watermarking) 主 要 用 于 数字 产品 真实 性 的 鉴别 (或 认证 )。 这 种 
水 印 同样 是 在 数字 产品 中 嵌入 标识 信息 , 当 内 容 发 生变 化 时 ,这 些 标 识 信息 会 发 生 一 定 程度 
的 改变 ,从 而 可 以 鉴定 原始 数据 是 否 被 算 改 。 易 损 水 印 对 一 般 的 图 像 处 理 要 求 有 较 强 的 敏 
感性 ,还 要 求 有 一 定 的 鲁 棒 性 , 既 允 许 一 定 程 度 的 失真 ,又 要 求 把 失真 的 情况 探测 出 来 。 


6. 应 用 范围 分 类 


按照 应 用 范围 ,目前 主要 有 两 类 数字 水 印 , 一 类 是 空间 数字 水 印 , 另 一 类 是 频率 数字 
水 印 。 

(1) 空间 数字 水 印 : 典型 代表 是 最 低 有 效 位 (LSB) 算 法 ,其 原理 是 通过 修改 表示 数字 图 
像 的 颜色 或 颜色 分 量 的 位 平面 ,调整 数字 图 像 中 感知 不 重要 的 像素 来 表达 水 印 的 信息 ,以 达 
到 授 入 水 印 的 目的 。 

(2) 频率 数字 水 印 : 典型 代表 是 扩展 频谱 算法 ,其 原理 是 通过 时 频 分 析 , 根 据 扩展 频谱 
特性 ,在 数字 图 像 的 频率 域 上 选择 那些 对 视觉 最 敏感 的 部 分 ,使 修改 后 的 系数 隐 含 数字 水 印 
的 信息 。 


9.6.4 数字 水 印 系统 组 成 及 其 模型 


总 体 上 看 来 ,一 个 完整 的 数字 水 印 系统 包括 嵌入 器 和 检测 器 两 大 部 分 。 艇 和 器 至 少 具 
有 两 个 输入 量 : 一 个 是 原始 信息 , 它 通过 适当 变换 后 作为 待 嵌入 的 水 印信 号 ; 另 一 个 就 是 要 
在 其 中 嵌入 水 印 的 载体 作品 。 水 印 嵌 入 器 的 输出 结果 为 含水 印 的 载体 作品 ,通常 用 于 传输 
和 转录 。 之 后 这 件 作品 或 男 一 件 未 经 过 髋 入 器 的 作品 可 作为 水 印 检测 器 的 输入 量 。 大 多 数 
检测 器 是 先 判断 出 水 印 是 否 存在 , 若 存在 , 则 输出 即 为 所 嵌入 的 水 印信 号 。 图 9. 20 给 出 了 


数字 水 印 处 理 系统 的 基本 框架 示意 图 。 
水 印 提取 
密 钥 k “上 算法 Ex 
上 
信 “二 | 上 -~ | 六 
了 信和 "和 水 提名 水 邱 作品 | [两 呈 | | 全 水 本 作品 | xm | 

-| 作品 x Tr x | 主 一 | 有 或 元 

水 印 生成 水 印 能 入 水 印 攻击 水 印 检测 

算法 G 算法 Em 算法 At 算法 D 


图 920 数字 水 印 处 理 系 统 基本 组 成 
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数字 水 印 系统 模型 通常 有 两 类 ,分 别 是 通信 的 水 印 模型 和 几何 的 水 印 模型 。 
9.6.5 数字 水 印 系统 的 基本 原理 


通用 的 数字 水 印 算法 包含 两 个 基本 方面 : 水 印 的 嵌入 和 水 印 的 提取 或 检测 。 
1) 数字 水 印 谋 入 算法 
设 了 为 数字 图 像 ,W 为 水 印信 号 ,K 为 密码 , 则 处 理 后 的 水 印 W' 由 函数 下 定义 如 下 : 
W’ = F(I,W,K) (9-1) 
若水 印 所 有 者 不 希望 水 印 被 其 他 人 知道 , 则 函数 下 应 该 是 不 可 逆 的 ,如 经 典 的 DES 加 
密 算 法 等 。 这 是 将 水 印 技术 与 加 密 算法 结合 起 来 的 一 种 通用 方法 ,目的 是 提高 水 印 的 可 靠 
性 、 安 全 性 和 通用 性 。 水 印 的 嵌入 过 程 如 图 9. 21 所 示 。 设 有 编码 函数 下 ,原始 图 像 和 水 
印 W'(W' 由 式 (9-1) 定 义 ) ,那么 水 印 图 像 表 示 如 下 : 
T=E(I,W’)= EI,F(I,W,K)) (9-2) 


水 印 


原始 图 像 一 一 m=| 伐 入 算法 [一 一 一 >| 水 印 图 像 


密码 


图 921 水 印 伐 入 算法 


2) 数字 水 印 提取 算法 
在 完整 性 确认 和 自 改 提示 应 用 中 ,必须 能 够 精确 地 提取 出 嵌入 的 水 印信 息 , 从 而 通过 水 
印 的 完整 性 来 确认 多 媒体 数据 的 完整 性 。 水 印 提取 算法 的 框图 如 图 9. 22 所 示 。 


水 印 图 像 


原始 图 像 [一 | 提取 算法 [一 一 一 =| ”水 印 


密码 


图 922 水 印 提取 算法 


3) 数字 水 印 检测 算法 

水 印 检测 是 水 印 算法 中 最 重要 的 步 又。 一 般 来 说 ,水 印 检测 首先 是 进行 水 印 提取 ,然后 
是 水 印 判决 。 若 将 这 一 过 程 定义 为 解码 函数 了 ,那么 输出 的 可 以 是 一 个 判定 水 印 存在 与 否 
的 0-1 决策 ,也 可 以 是 包含 各 种 信息 的 数据 流 , 如 文本 和 图 像 等 。 水 印 图 像 检 测算 法 如 
图 9. 23 所 示 。 


水 印 或 原始 图 像 | 一 一 一 1 


| .| | ”| “水印 提取 或 
测试 图 像 检测 算法 机 


密码 | 


图 923 水 印 图 像 检测 算法 
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9.6.6 数字 水 印 算 法 


数字 水 印 算法 包含 水 印 嵌 入 \ 水 印 提取 和 水 印 检测 3 个 基本 方面 ,算法 的 种 类 分 为 两 
大 类 ; 

(1) 将 数字 水 印 按 某 种 算法 直接 释 加 到 图 像 的 空间 域 (spatial domain) ,空间 域 方法 的 
优点 是 算法 简单 ,计算 速度 比较 快 ,但 鲁 棒 性 相对 较 差 。 

(2) 先 将 图 像 做 某 种 变换 (特别 是 正 交 变换 ), 然 后 把 水 印 内 入 到 图 像 的 变换 域 
(transform domain) 。 

从 目前 的 情况 看 ,变换 域 方法 正 变 得 日 益 普 遍 , 这 种 算法 通常 都 具有 很 好 的 鲁 棒 性 ,对 
图 像 压缩 、 常 用 的 图 像 滤 波 以 及 噪声 污染 均 有 一 定 的 抵抗 力 。 


1. 空间 域 算法 


空间 域 算 法 是 使 用 图 像 中 不 重要 的 像素 位 、 利 用 像素 的 统计 特征 将 信息 肉 入 像素 的 亮 
度 值 中 。 

典型 空域 方法 有 最 低 有 效 位 方法 (Least Significant Bits, LSB) 、Patchwork 法 和 文档 结 
构 微 调 方法 。 

(1) 最 低 有 效 位 算法 是 国际 上 最 早 提出 的 数字 水 印 算法 ,是 一 种 典型 的 空间 域 信息 隐 
藏 算法 。 它 可 以 隐藏 较 多 的 信息 ,但 当 受到 各 种 攻击 后 水 印 很 容易 被 移 去 。 

它 首先 把 一 个 密 钥 输入 到 一 个 m 序列 发 生 器 来 产生 水 印信 号 ,再 将 此 m 序列 重新 排列 
成 二 维 水 印信 号 , 按 像素 点 逐一 插入 到 原始 声音 、 图 像 或 视频 等 信号 中 作为 水 印 , 即 将 数字 
水 印 通 过 某 种 算法 直接 亚 加 到 图 像 等 信号 的 空间 域 中 。 巾 于 水 印信 号 被 安排 在 了 最 低位 
上 ,所 以 不 会 被 人 的 视觉 或 听觉 所 察觉 。 

该 算法 的 鲁 棒 性 差 ,水 印信 息 很 容易 被 滤波 、 图 像 量 化 和 几何 变形 的 操作 破坏 。 

(2) Patchwork 方法 是 一 种 基于 统计 的 数据 水 印 嵌 入 方案 ,其 过 程 是 用 密 钥 和 伪 随 机 数 
发 生 器 来 选择 N 对 像素 点 (ai;,6;) ,然后 将 每 个 a; 点 的 亮度 值 加 8, 每 个 六 点 的 亮度 值 减 9， 
整个 图 像 的 平均 亮度 保持 不 变 ,6 值 就 是 图 像 中 嵌入 的 水 印信 息 。 

该 方法 对 JPEG 压缩 FIR 滤波 以 及 图 像 裁剪 有 一 定 的 抵抗 力 ,但 该 方法 嵌入 的 信息 量 
有 限 。 可 以 将 图 像 分 块 , 然 后 对 每 一 个 图 像 块 进行 嵌入 操作 。 


2. 变换 域 算法 


变换 域 算法 采用 扩 频 通信 技术 , 先 计算 图 像 的 离散 余弦 变换 (DCT) ,然后 将 水 印 琶 加 到 
DCT 域 中 幅 值 最 大 的 前 A 个 系数 上 (不 包括 直流 分 量 ) ,通常 为 图 像 的 低频 分 量 。 

该 算法 是 目前 研究 最 多 的 算法 。 它 具有 和 鲁 棒 性 强 、 隐 项 性 好 等 特点 ,尤其 可 以 与 JPEG 
和 MPEG 等 压缩 标准 的 核心 算法 相 结合 ,能 较 好 地 抵抗 有 损 压 缩 。 

该 类 算法 的 基本 思想 是 先 对 图 像 或 声音 信号 等 信息 进行 某 种 变换 ,在 变换 域 上 嵌入 水 
印 ,然后 经 过 反 变换 而 成 为 含水 印 的 输出 。 在 检测 水 印 时 ,也 要 首先 对 信号 作 相应 的 数学 变 
换 , 然 后 通过 相关 运算 检测 水 印 。 这 些 变 换 包括 离散 余弦 变换 (DCT)、 小 波 变换 (CDWT) 、 傅 
氏 变 换 (FT 或 FFT) 等 。 其 中 基于 分 块 的 DCT 是 最 常用 的 变换 之 一 ,现在 所 采用 的 静止 图 
像 压缩 标准 JPEG 也 是 基于 分 块 DCT 的 。 
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3. 压缩 域 算 法 


压缩 域 算法 是 基于 JPEG 和 MPEG 标准 的 数字 水 印 系 统 ,其 水 印 检测 与 提取 直接 在 压 
缩 域 数 据 中 进行 。 在 数字 电视 广播 及 VOD 中 有 很 大 的 实用 价值 。 


4. NEC 算法 


NEC 算法 是 由 NEC 实验 室 的 Cox 等 人 提出 的 ,在 数字 水 印 算法 中 占有 重要 地 位 。 该 算法 
首先 以 密 钥 为 种 子 产 生 伪 随机 序列 ,该 序列 具有 高 斯 N(0,1) 分 布 , 密 钥 一 般 由 作者 的 标识 码 
和 图 像 的 哈 希 值 组 成 ,其 次 对 图 像 做 DCT 变换 ,最 后 用 伪 随 机 高 斯 序列 来 调制 ( 释 加 ) 该 图 像 
除 直 流 分 量 外 的 1000 个 最 大 的 DCT 系统 。 该 算法 具有 较 强 的 鲁 棒 性 安全 性 ,透明 性 , 且 提出 
了 增强 水 印 鲁 棒 性 和 抗 攻击 算法 的 重要 原则 : 水 印信 号 应 嵌入 源 数据 中 对 人 感觉 最 重要 的 部 
分 ,这 种 水 印信 号 由 独立 同 分 布 随机 实数 序列 构成 , 且 应 具有 高 斯 N(0,1) 分 布 的 特征 。 


5. 生理 模型 算法 


生理 模型 算法 包括 人 类 视觉 系统 (HVS) 和 人 类 听觉 系统 (HAS)。 利 用 视觉 模型 的 基 
本 思想 是 利用 从 视觉 导出 的 JND(Just Noticeable Difference) 来 确定 在 图 像 各 部 分 所 能 容忍 
的 数字 水 印信 和 号 的 最 大 强度 ,从 而 避免 破坏 视觉 质量 。 


9.6.7 数字 水 印 攻击 分 析 


与 密码 学 类 似 , 数 字 水 印 也 是 一 个 对 抗 性 的 研究 领域 。 正 是 因为 有 水 印 攻击 的 存在 , 才 
有 水 印 研究 的 不 断 深 入 。 

水 印 攻击 与 密码 攻击 一 样 ,包括 主动 攻击 和 被 动 攻击 。 主 动 攻击 的 目的 并 不 是 破解 数 
字 水 印 , 而 是 自 改 或 破坏 水 印 。 而 被 动 攻击 则 试图 破解 数字 水 印 算法 。 值 得 一 提 的 是 ,主动 
攻击 并 不 等 于 肆意 破坏 。 

真正 的 主动 水 印 攻击 应 该 是 在 不 过 多 影响 数据 质量 的 前 提 下 除去 数字 水 印 。 


1. 水 印 攻 击 的 方式 


目前 水 印 攻击 的 方式 主要 有 如 下 几 种 : 

1) 简单 攻击 

简单 攻击 也 可 称 为 波形 攻击 或 噪声 攻击 ,是 通过 对 水 印 图 像 进行 某 种 操作 以 削弱 或 删 
除 嵌 入 的 水 印 。 

2) 同步 攻击 

同步 攻击 是 试图 使 水 印 的 相关 检测 失效 ,或 使 恢复 嵌入 的 水 印 成 为 不 可 能 。 这 类 攻击 
的 一 个 特点 是 水 印 实际 上 还 存在 于 图 像 中 ,但 水 印 检测 函数 已 不 能 提取 水 印 或 不 能 检测 到 


水 印 的 存在 。 
3) 迷惑 攻击 
迷惑 攻击 是 试图 通过 伪造 原始 图 像 和 原始 水 印 来 迷惑 版 权 保护 。 
4) 删除 攻击 


删除 攻击 是 针对 某 些 水 印 方法 ,通过 分 析 水 印 数 据 , 穷 举 水 印 密 钥 来 估计 图 像 中 的 水 
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印 ,然后 将 水 印 从 图 像 中 分 离 出 来 ,并 使 水 印 检测 失效 。 

5) 协议 攻击 

协议 攻击 的 基本 思想 是 盗版 者 在 已 加 入 水 印 版 权 的 图 像 中 加 入 自己 的 水 印 , 并 声称 该 
图 像 的 所 有 权 是 属于 自己 的 。 


2. 水 印 攻击 的 技术 方法 


1) IBM 攻击 

IBM 攻击 是 针对 可 逆 的 非 盲 水 印 算法 进行 的 攻击 。 

其 原理 是 : 原始 图 像 为 IT, 水 印 为 WA, 加 入 水 印 后 的 图 像 为 : IA=I 二 WA; 攻击 者 生成 
自己 的 水 印 WF ,伪造 原 图 : IF 二 IA 一 WF, 所 以 IA 二 IF 十 WF。 攻 击 者 声称 自己 拥有 IA 的 
版 权 , 因 为 可 以 利用 伪造 原 图 IF 从 IA 中 检测 出 水 印 WF。 

防止 此 类 攻击 的 方法 是 研究 不 可 逆水 印 嵌 入 算法 (如 哈 希 算法 ) 。 

2) Stir Mark 攻击 

Stir Mark 攻击 是 剑桥 大 学 开发 的 水 印 攻击 软件 ,实现 对 水 印 载体 图 像 的 各 种 攻击 ( 重 
采样 攻击 .几何 失真 攻击 、 模 拟 A/D 转换 器 带 来 的 误差 )。 人 们 可 以 以 水 印 检测 器 能 否 从 遭 
受 攻击 的 水 印 载体 中 提取 或 检验 出 水 印信 息 来 评定 水 印 算法 抗 攻击 的 能 力 。 

3) 马赛 克 攻 击 

马赛 克 攻 击 将 图 像 分 割 成 许多 个 小 图 像 , 将 每 个 小 图 像 放 在 HTML 页 面 上 拼凑 成 完整 
的 图 像 ,使 得 自动 侵权 探测 器 (包括 数字 水 印 系统 和 Web 怜 行者 ) 无 法 检测 到 侵权 行为 。 此 
类 攻击 方法 的 弱点 是 : 当 数 字 水 印 系统 要 求 的 图 像 最 小 尺寸 较 小 时 ,需要 将 原 图 分 割 成 很 
多 小 图 像 , 工 作 繁 琐 。 

4) 共 谋 攻击 (collusion attack) 

共 谋 攻击 是 利用 同一 原始 多 媒体 集合 的 不 同 水 印信 号 版 本 ,生成 一 个 近似 的 多 媒体 数 
据 集 合 , 以 此 来 通 近 和 恢复 原始 数据 。 目 的 是 使 检测 系统 无 法 从 这 一 近似 数据 集合 中 检测 
到 水 印 的 存在 。 它 是 最 简单 的 实现 平均 法 。 

5) 跳跃 攻击 

跳跃 攻击 用 于 对 音频 信号 数字 水 印 系 统 的 攻击 ,在 音频 信号 上 加 入 一 个 跳跃 信号 
Gjitter) ,如 将 信号 数据 分 成 500 个 采样 点 一 个 单位 的 数据 块 , 在 每 个 数据 块 随机 复制 或 删除 
一 个 采样 点 ,接着 再 将 数据 块 按 原来 的 顺序 重新 组 合 起 来 。 这 种 改变 即使 对 于 古典 音乐 信 
号 数据 也 几乎 感觉 不 到 ,但 可 以 非常 有 效 地 阻止 水 印信 号 的 检测 定位 。 


9.7 信息 隐藏 技术 的 研究 


信息 隐藏 技术 潜在 的 价值 是 无 法 估量 的 ,将 有 越 来 越 广泛 的 用 途 。 但 作为 一 种 有 效 的 
新 的 信息 安全 技术 ,信息 隐藏 技术 仍 存在 理论 研究 未 成 体系 、 技 术 不 够 成 熟 、 实 用 化 程度 不 
够 等 问题 ,所 以 仍 有 许多 问题 需要 继续 研究 。 

(1) 网 络 环境 下 实现 隐藏 通信 的 关键 技术 。 如 理论 上 如 何 设立 数字 水 印 模型 隐藏 容 
量 、 抗 攻击 性 能 等 ,算法 上 也 需要 研究 更 高 性 能 的 水 印 算法 。 

(2) 多 种 载体 信息 隐藏 的 分 析 。 目 前 多 数 研究 是 针对 图 像 .视频 和 音频 等 媒体 的 ,而 实 
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际 基于 文本 数据 作为 覆盖 信号 的 数据 特征 研究 较 少 。 

(3) 根据 符合 我 国 通信 设施 特点 和 多 种 网 络 传输 方式 的 隐藏 通信 系统 尚 待 研究 。 

(4) 隐藏 分 析 需 要 进一步 研究 。 信 息 隐 藏 技术 是 一 把 双 刃 剑 , “9。11? 恐 怖 事件 的 恐怖 
分 子 就 曾 利用 信息 隐藏 技术 将 含有 密谋 信息 和 情报 的 图 片 通过 互联 网 实现 了 隐藏 传输。 如 
今 , 忍 怖 分 子 、 毒 品 交易 者 以 及 其 他 犯罪 分 子 等 一 样 可 以 用 隐藏 分 析 技 术 来 传输 秘密 信息 ， 
实施 犯罪 活动 。 因 此 ,下 一 步 对 于 信息 隐藏 分 析 的 研究 尚 需 加 强 。 


习题 九 


. 信息 隐藏 在 现代 的 应 用 领域 有 哪些 ? 

. 简单 描述 信息 隐藏 和 密码 技术 的 区 别 。 

. 信息 加 密 和 隐藏 可 以 分 为 哪 3 种 模式 ? 

. 绘图 说 明 信 息 隐 藏 技术 的 主要 分 支 。 

. 信息 隐藏 技术 主要 由 哪 两 部 分 组 成 ? 

. 简要 说 明 信 息 隐藏 系统 的 特征 。 

. 绘图 说 明 信 息 隐 藏 的 通用 模型 。 

. 信息 隐藏 的 主要 方法 有 哪 几 种 ? 

. 什么 是 隐藏 匿名 通信 技术 ? 

0. 简 述 两 种 典型 的 匿名 通信 机 制 ,它们 的 优 缺 点 是 什么 ? 
. 数据 隐 写 术 可 以 分 成 哪 几 类 ? 

2. 隐蔽 信道 的 定义 是 什么 ? 

13. 数字 水 印 应 具有 哪些 特点 ? 主要 应 用 于 哪些 领域 ? 
14. 通用 的 数字 水 印 算法 包含 哪 两 个 基本 方面 ? 
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10.1 位 置 服务 


位 置 服务 (Location Based Services,LBS) 又 称 定位 服务 ,LBS 是 由 移动 通信 网 络 和 卫星 
定位 系统 结合 在 一 起 提供 的 一 种 增值 业务 ,通过 一 组 定位 技术 获得 移动 终端 的 位 置信 息 ( 如 
经 纬度 坐标 数据 ) ,提供 给 移动 用 户 本 人 或 他 人 以 及 通信 系统 ,实现 各 种 与 位 置 相关 的 业务 。 
它 实 质 上 是 一 种 概念 较为 宽泛 的 与 空间 位 置 有 关 的 新 型 服务 业务 。 


10.1.1 位 置 服务 的 定义 


关于 位 置 服务 的 定义 有 很 多 。1994 年 ,美国 学 者 Schilit 首先 提出 了 位 置 服务 的 三 大 目 
标 : 你 在 哪里 (空间 信息 )、 你 和 谁 在 一 起 (社会 信息 )、 附 近 有 什么 资源 (信息 查询 )。 这 也 成 
为 LBS 最 基础 的 内 容 。 

2004 年 ,Reichenbacher 将 用 户 使 用 LBS 的 服务 归纳 为 5 类 : 定位 (个 人 位 置 定位 ). 导 
航 (路 径 导 航 ) 、 查 询 ( 查 询 某 个 人 或 某 个 对 象 )、 识 别 ( 识 别 某 个 人 或 对 象 ) 和 事件 检查 ( 当 出 
现 特殊 情况 时 ,向 相关 机 构 发 送 带 求救 或 查询 的 个 人 位 置信 息 ) 。 

在 国内 ,LBS 通常 是 指 通 过 电信 移动 运营 商 的 无 线 通信 网 络 ( 如 GSM 网 .CDMA 网 ) 或 外 
部 定位 方式 (如 GPS) 获 取 移动 终端 用 户 的 位 置信 息 ( 地 理 坐标 或 大 地 坐标 ) ,在 GIS(Geographic 
Information System, 地 理 信 息 系统 ) 平 台 的 支持 下 ,为 用 户 提供 相应 服务 的 一 种 增值 业务 。 

如 找到 手机 用 户 的 当前 地 理 位 置 ,然后 寻找 当前 位 置 处 1km 范围 内 的 博物 馆 和 影院 等 
的 名 称 和 地 址 。 增 值 业 务 是 指 在 移动 通信 网 上 开发 的 除了 语音 等 基本 业务 以 外 的 服务 类 
型 ,如 短信 彩铃 .移动 互联 网 .新闻 资讯 和 电子 信箱 等 。LBS 的 示例 如 图 10. 1 所 示 。 
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LBS 就 是 要 借助 于 互联 网 或 无 线 网 络 ,在 固定 用 户 或 移动 用 户 之 间 完 成 定位 和 服务 两 
大 功能 。 

对 于 位 置 定 位 有 如 下 几 种 方法 : 

(1) AOA(Angle of Arrival ) 指 通过 两 个 基站 的 交集 来 获取 移动 台 (mobile station) 的 
位 置 。 

(2) TDOA(Time Difference of Arrival) 的 工作 原理 类 似 于 GPS。 通过 一 个 移动 台 和 多 
个 基站 交互 的 时 间 差 来 定位 。 

(3) 位 置 标 记 (location signature) : 对 每 个 位 置 区 进行 标识 来 确定 位 置 。 

(4) 卫星 定位 。 

需要 特别 说 明 的 是 ,位 置信 息 不 是 单纯 的 位置", 而 是 包括 以 下 几 类 : 

(1) 地 理 位 置 (空间 坐标 ) ; 

(2) 处 在 该 位 置 的 时 刻 (时 间 坐 标 ); 

(3) 处 在 该 位 置 的 对 象 (身份 信息 ) 。 


10.1.2 位 置 服务 的 发 展 历史 


其 实 LBS 并 不 是 新 东西 ,建设 GPS 系统 的 目的 就 是 为 了 给 用 户 提供 位 置 服 务 。 早 在 
20 世纪 70 年 代 , 美 国 颁布 了 911 服务 规范 。 基 本 的 911 业务 (Basic 911) 是 要 求 FCC 定义 的 移 
动 和 固定 运营 商 实现 的 一 种 关系 国家 和 生命 安全 的 紧急 处 理 业务 , 它 和 我 国 的 110/120 等 紧 
急 号 码 一 样 ,要 求 电信 运营 商 在 紧急 情况 下 可 以 跟踪 到 呼叫 911 号 码 的 电话 的 所 在 地 。 在 有 
线 时 代 , 这 一 要 求实 现 起 来 相对 来 说 容易 一 些 。 

1993 年 11 月 美国 一 个 叫做 久 尼 弗 。 库 恩 的 女孩 遭 绑架 之 后 被 杀害 ,在 这 个 过 程 中 , 库 恩 
用 手机 拨打 了 911 电话 ,但 是 911 呼救 中 心 无 法 通过 手机 信号 确定 她 的 位 置 。 由 于 这 个 事件 ， 
导致 美国 的 FCC( 联 邦 通 信 委员 会 ) 在 1996 年 推出 了 一 个 行政 性 命令 E911 ,要 求 强制 性 构建 一 
个 公众 安全 网 络 , 即 无 论 在 任何 时 间 和 地 点 ,都 能 通过 无 线 信号 追踪 到 用 户 的 位 置 。 

E911 有 有 线 和 无 线 之 分 。 有 线 E911 由 ISUP 协议 进行 保证 ,主要 与 有 线 网 络 有 关 。 而 无 
线 E911 有 两 个 版 本 。 第 一 个 版 本 要 求 运 营 商 通过 本 地 PSAP (Public Safety Answering 
Point) 进 行 呼叫 权限 鉴 权 ,并 且 获 取 主 叫 用 户 的 号 码 和 主 叫 用 户 的 基站 位 置 ;第 二 个 版 本 要 
求 运 营 商 提供 主 叫 用 户 所 在 位 置 精确 到 50 一 300m 范围 的 位 置信 息 。 

无 线 E911 第 二 版 最 重要 的 是 用 户 位 置 的 定位 。 

此 外 ,2001 年 的 "9。11? 事 件 也 让 美国 的 公众 认识 到 位 置 服务 的 重要 性 ,因此 ,在 为 了 
实现 E911 目标 的 同时 ,基于 位 置 服务 的 业务 也 逐渐 开展 起 来 。 从 某 种 意义 上 说 ,是 E911 促 
使 移动 运营 商 投 入 大 量 的 资金 和 力量 来 研究 位 置 服务 ,从 而 催生 了 LBS 市 场 。 


10.1.3 位 置 服务 的 应 用 类 型 


1. 服务 种 类 


1) 大 众 应 用 
移动 位 置 服务 满足 了 不 同 用 户 的 各 种 不 同 需求 ,包括 生活 、 娱 乐 和 工作 等 ,主要 应 用 可 
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以 分 为 以 下 几 类 : 

(1) 位 置信 息 查询 

使 用 户 能 够 获取 其 所 想 要 的 周边 信息 (如 周边 的 银行 .宾馆 酒店 和 加 油 站 等 ) .当前 位 置 
信息 (如 自己 或 朋友 目前 所 处 的 位 置 等 ) 和 交通 信息 (如 最 新 交通 状况 等 ) 等 。 

(2) 移动 黄页 查询 

用 户 可 以 在 互联 网 查询 自己 所 在 区 域 范围 内 的 相关 信息 ,包括 附近 有 哪些 饭店 或 商场 、 
天 气 情况 、 附 近 各 公司 的 电话 号 码 和 所 在 位 置 等 。 移 动 互 联网 技术 与 位 置 服务 相 结合 ,就 可 
以 轻而易举 地 实现 移动 黄页 查询 。 移 动 网 络 首先 定位 出 用 户 所 处 的 位 置 ,然后 再 在 互联 网 
提供 的 信息 中 节选 出 用 户 所 在 地 的 相关 信息 供用 户 查询 。 

(3) 游戏 娱乐 

移动 终端 游戏 ,如 阵地 战 .非常 男女 .地缘 素 配 等 ,和 位 置信 息 相关 ,其 中 位 置信 息 可 以 
是 用 户 所 处 的 实际 地 理 位 置 ,也 可 以 是 终端 用 户 定制 的 虚拟 社区 位 置 。 在 游戏 中 加 入 位 置 
因素 ,使 用 户 在 娱乐 中 体验 到 空间 归属 感 。 

(4) 跟踪 导航 

包括 个 人 导航 行车 导航 及 人 物 寻 找 跟踪 等 移动 定位 应 用 。 导 航 应 用 的 目的 就 是 带领 
终端 用 户 找到 其 目的 地 。 目 的 地 被 输入 终端 后 ,交通 指南 马上 就 会 显示 出 来 。 终 端 用 户 可 
以 选择 纯 文本 、 带 有 文字 信息 的 记号 (如 : 转弯 十 距离 ) 或 是 以 地 图 的 形式 展现 的 记号 。 

2) 行业 应 用 

行业 用 户 指 的 是 公安 消防 、 交 通 \ 企 业 和 新 闻 媒 体 等 领域 用 户 。 

(1) 紧急 救援 

在 用 户 遇 到 紧急 或 危险 情况 而 不 清楚 其 所 处 的 地 理 位 置 的 时 候 , 如 果 其 携带 的 移动 通 
信 设 备 支持 位 置 服务 ,营救 人 员 就 可 以 在 获得 求救 信号 后 ,根据 位 置 服务 的 网 元 获取 求救 者 
的 位 置信 息 ,为 快速 ,高效 地 开展 救援 活动 提供 帮助 ,减少 危险 情况 带 来 的 伤亡 和 损失 。 

(2) 智能 交通 

为 每 一 辆 (或 每 一 列 ) 需 要 跟踪 和 导航 的 汽车 (或 列车 ) 安 装 一 个 移动 车 载 台 ,提供 较 好 的 
基站 获 凑 。 然 后 ,通信 和 网 再 为 这 些 车 载 台 提供 位 置信 息 , 并 将 这 些 信息 通 过 通信 本 身 传输 给 负 
责 交通 管理 的 调度 中 心 ,就 可 以 快速 地 在 车 辆 调度 中 心 之 间 建 立 协调 的 运行 管理 和 导航 。 

(3) 外 勤 人 员 管 理 和 调度 

可 及 时 进行 外 勤 人 员 管 理 和 调度 。 

(4) 物流 和 资产 管理 

企业 可 以 通过 LBS 来 跟踪 和 管理 资产 ,从 而 实现 物流 和 资产 的 智能 管理 。 

(5) 如 果 终 端 用 户 与 基于 位 置 应 用 提供 商 形 成 了 合作 关系 , 当 到 达 预 定 区 域 时 ,他 们 以 
消费 者 或 是 团体 客户 端的 身份 来 触发 位 置 敏感 商业 广告 。 另 外 ,终端 用 户 可 以 向 服务 器 定 
制 自己 感 兴趣 的 新 闻 或 商业 信息 ,服务 器 将 在 固定 的 时 间 发 送 这 些 信息 。 

(6) 巡 检 管理 

巡 检 管理 包括 煤矿 安全 巡 检 ,城市 电力 巡 检 和 城市 地 下 管线 巡 检 等 。 


2. 目前 LBS 提供 的 主要 服务 


1) 公共 安全 业务 
该 业务 主要 是 对 拨打 紧急 呼叫 电话 的 用 户 进 行 定位 ,以 方便 公共 安全 部 门 为 其 提供 迅 
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速 、 准 确 的 救援 服务 ,比如 美国 的 移动 911 紧急 呼叫 服务 。 

2) 跟踪 业务 

该 业务 提供 对 人 员 和 车 辆 等 可 移动 目标 的 跟踪 服务 ,允许 用 户 定期 或 按 需 查询 目标 的 
位 置 。 具 体 的 应 用 有 儿童 监护 .宠物 跟踪 .车 辆 防盗 ,车队 调 度 与 管理 等 。 

3) 基于 位 置 的 个 性 化 信息 服务 

该 业务 为 用 户 提供 与 当前 所 处 位 置 相关 的 综合 信息 服务 ,例如 为 旅游 者 提供 当地 的 交 
通 状况 .天气 预 报 和 旅游 指南 等 分 类 信息 ,帮助 其 查找 附近 的 酒店 、 停 车 场 和 娱乐 场所 等 。 

4) 导航 服务 

该 业务 为 用 户 提供 由 当前 位 置 到 目的 地 的 引导 服务 ,例如 针对 旅行 者 的 路 线 规划 服务 
和 行程 中 的 引导 服务 (提供 转向 提示 和 到 达 通 知 等 ) 。 

5) 基于 位 置 的 计 费 业务 

运营 商 将 网 络 划分 为 不 同 的 计 费 区 域 ,用 户 在 不 同 的 地 点 使 用 移动 业务 按 不 同 的 费 率 
收费 。 


3. 定位 服务 在 全 球 的 应 用 情况 


目前 ,全 球 LBS 服务 的 主要 发 展区 域 包 括 北美 .亚太 以 及 欧洲 三 大 市 场 ,其 中 以 亚太 市 
场 的 发 展 最 早 也 最 快 ,尤其 是 日 . 韩 两 国 。 

全 球 定位 服务 的 应 用 情况 如 表 10. 1 所 示 。 

表 10.1 世界 上 广泛 应 用 的 定位 服务 

简 介 备 注 

a 路 线 优化 ,电子 眼 探测 ,超速 警报 二 
实时 路 况 信息 
道路 救援 
位 置 气象 服务 
商店 位 置 及 商品 打折 促销 信息 
周边 设施 服务 查询 


周边 租房 信息 
定位 与 搜寻 | 出 租车 呼叫 


服务 对 象 


峡 
涯 


生活 


个 人 应 用 提供 好 友 位 置信 息 社交 
家 庭 成 员 定位 ,针对 老人 与 儿童 提供 安全 保障 


定位 患者 和 残障 人 士 位 置 ,通知 主治 医生 和 家 人 。 
二 欧美 二 


定位 宠物 位 置 
紧急 报警 服务 


紧急 预警 二 韩国 > 
安全 紧急 情况 时 ,将 位 置信 息 传 给 提前 预 设 好 的 2 个 号 码 
移动 保镖 一 韩国 > 
紧急 情况 时 ,将 位 置信 息 和 照片 传 给 预 设 的 3 个 号 码 


关怀 
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服务 对 象 | 应 用 时 
灾难 救助 二 日 本 这 
当 发 生地 质 灾害 时 ,为 用 户 提供 各 难 及 救助 信息 
三 汽车 ,摩托 车 等 运输 工具 的 防盗 和 位 置 跟踪 应 急 安防 
手机 被 盗 后 的 位 置 跟踪 
个 人 应 用 藏 宝 游戏 人 


高 尔 夫 定位 ,提供 球 洞 分 布 图 .到 绿地 的 距离 及 成 绩 


娱乐 游戏 为 运动 爱好 者 检测 运动 历程 数 , 提 高 健身 效果 一 欧 
美 .日 本 > 


健康 健身 
徒步 导航 ,提供 运动 计划 管理 ,运动 行程 统计 ,运动 量 
估算 一 韩国 > 
物流 定位 货车 ,物流 分 发 ,后 勤 调度 物流 .出 租车 \ 公 交 
企业 应 用 监控 人 口 流向 和 人 口 分 布 ,为 企业 规划 和 政府 市 政 改 时 
信息 收集 。 | 造 决策 提供 依据 二 欧美 > i 


10.1.4 位置 服务 在 我 国 的 应 用 情况 


中 国 移动 在 2002 年 11 月 首次 开通 了 位 置 服务 ,如 移动 梦 网 品牌 下 的 业务 “我 在 哪里 ”、 
“你 在 哪里 ”“ 找 朋友 ”等 ;2003 年 ,中 国联 通 在 其 CDMA 网 上 推出 “定位 之 星 ” 业 务 , 用 户 可 
以 在 较 快 的 速度 下 体验 下 载 地 图 和 导航 类 的 复杂 服务 ;而 中 国电 信和 和 中国 网 通 似乎 也 看 到 
了 位 置 服务 诱 人 前 景 ,启动 在 PHS( 小 灵通 ) 平 台 上 的 位 置 服务 业务 。 

但 是 由 于 当时 移动 通信 的 带宽 很 窄 ,GPS 的 普及 率 比 较 低 ,最 重要 的 是 市 场 需 求 并 不 旺 
盛 ,所 以 , 几 家 大 的 运营 商 虽然 热情 很 高 ,但 是 整个 市 场 并 没有 像 预 期 的 那样 顺利 启动 ,在 一 
个 很 长 的 时 间 内 ,该 业务 都 无 人 问津 。 

LBS 虽然 在 消费 市 场 没 有 得 到 承认 ,但 是 随 着 公众 对 交通 安全 认识 的 提高 ,位 置 服务 却 
在 一 些 专业 领域 逐渐 得 到 了 承认 。 从 2004 年 开始 ,交通 安全 管理 与 应 急 联动 领域 逐渐 引入 
了 GPS 与 移动 通信 结合 的 LBS 服务 ,各 地 方 有 的 是 民营 资本 投入 ,有 的 是 交通 管理 部 门 参 
与 其 中 ,针对 公共 运营 车 辆 ,包括 公交 、 出 租 、 货 运 , 长 途 客运 .危险 品 运输 、 内 陆 航运 等 交通 
运输 工具 ,开发 相关 的 运输 监控 管理 系统 ,其 中 用 到 的 基础 技术 就 是 LBS。 到 2007 年 底 , 据 
不 完全 统计 ,国内 已 经 有 十 几 个 省 市 实现 了 对 出 租车 .长途 客运 汽车 和 危险 品 运输 车 辆 的 全 
程 跟踪 管理 ,其 中 包括 车 辆 位 置 跟踪 、 车 速 管理 和 车 辆 调度 等 ,有 的 甚至 还 在 车 辆 内 部 安装 
摄像 头 ,实现 对 车 辆 的 全 程 视频 跟踪 。 而 民用 市 场 的 私家 车 GPS 市 场 也 得 到 爆发 性 增长 ， 
在 LBS 基础 上 提供 车 辆 监控 服务 的 厂商 也 不 断 涌现 。 

经 过 五 六 年 的 发 展 ,国内 专业 领域 的 LBS 得 到 一 定 的 发 展 , 也 涌现 出 像 赛 格 . 中 国 卫 通 
这 样 较 大 的 LBS 服务 提供 商 ,但 是 大 多 数 提供 LBS 服务 的 企业 还 都 是 小 作坊 式 生产 ,多 的 
能 管理 几 千 辆 车 , 少 的 只 有 几 百 辆 。 而 提供 类 似 服务 的 企业 有 几 千 家 。 

正 是 由 于 如 此 混乱 的 局 面 , 也 导致 了 这 个 市 场 存在 恶性 竞争 ,服务 质量 差 、 投 诉 多 等 问 
题 , 因 此 或 需 能 有 一 个 或 几 个 上 规模 的 企业 能 够 对 整个 行业 进行 重新 整合 ,以 便 规范 我 国 的 
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LBS 市 场 。 从 而 能 够 让 广大 用 户 真 正体 会 到 LBS 带 给 我 们 的 种 种 便利 。 


10.2 位 置 服务 技术 原理 


LBS 是 一 项 集成 系统 ,是 GIS、 空 间 定位 、 移 动 通信 和 无 线 互联 网 等 技术 的 综合 体 ( 如 
图 10. 2 所 示 )。GIS 技术 ,移动 通信 技术 和 定位 技术 
(基于 基站 定位 和 基于 GPS 定位 ) 三 者 结合 形成 了 
LBS 技术 ,为 用 户 提供 基于 位 置 的 信息 交换 、 信 息 获 GIS 空间 数据 库 


取 、 共 享 和 发 布 服务 。 Co 
一 个 完整 的 LBS 系统 主要 巾 空间 定位 系统 、 位 置 


唱 / 移动 设备 
服务 中 心 .通信 网 络 和 移动 终端 等 部 分 组 成 。 
1. 移动 终端 图 102 LBS 作 为 多 种 技术 的 交叉 点 


10.2.1 LBS 系统 组 成 


移动 终端 可 以 是 一 个 移动 电话 .一 个 PDA( 个 人 数字 助理 ,一 般 指 掌上 电脑 )、 笔 记 本 计 
算 机 、PC 或 者 是 一 个 应 用 程序 接口 。 它 其 实 就 是 既 充 当 定 位 装置 ,同时 又 充当 查询 和 显示 
设备 。 


2. 无 线 网 络 


这 里 的 无 线 网 络 包 括 2G、2. 5G 网 络 以 及 以 后 的 3G 网 络 , 只 要 能 准确 地 确定 出 移动 终 
端的 位 置 ,LBS 就 能 很 好 地 展开 。 


3. 定位 平台 
定位 平台 是 基于 GPS 或 者 MPS( 移 动 定位 系统 ) 技 术 的 定位 系统 。 
4. 提供 位 置 服务 的 服务 器 


提供 位 置 服务 的 服务 器 是 LBS 系统 的 核心 部 分 ,主要 是 用 来 处 理 分 析 并 响应 用 户 的 
请 求 。 


5. 提供 位 置 服务 的 应 用 程序 
提供 位 置 服务 的 应 用 程序 是 用 来 实现 LBS 服务 的 应 用 程序 。 
6. 与 位 置信 息 相关 的 内 容 


与 位 置信 息 相关 的 内 容 主要 包括 相关 的 地 理 数据 信息 。 

以 上 除 移 动 终端 属于 客户 端 外 ,其 他 部 分 都 属于 服务 器 端 。 服务 器 端的 无 线 网 络 定位 
平台 都 是 由 移动 运营 商 拥有 并 进行 维护 。 只 有 LBS 服务 器 、LBS 应 用 程序 和 位 置信 息 相关 
的 内 容 可 以 由 开发 者 自己 设计 和 实施 。LBS 的 系统 组 成 如 图 10. 3 所 示 。 
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7 非 位 置 服务 应 用 
认证 和 吕 | 一 | 且 务 中 心 帮 、 
1 位 置 服务 应 用 
Lo。 


定位 系统 


图 103 LBS 的 系统 组 成 


10.2.2 LBS 系统 工作 的 主要 流程 


LBS 系统 工作 的 主要 流程 如 下 : 

(1) 用户 通过 移动 终端 发 出 位 置 服务 申请 。 

(2) 该 申请 经 过 电信 的 各 种 通信 网 关 后 ,为 位 置 服务 中 心 所 接受 。 

(3) 经 审核 认证 ,服务 中 心 调用 定位 系统 获得 用 户 的 位 置信 息 ( 用 户 若 配 有 GPS 等 主动 
定位 设备 , 则 可 通过 无 线 网 络 主动 将 位 置 参数 发 送 给 服务 中 心 ) 。 

(4) 服务 中 心 根据 用 户 的 位 置 对 服务 内 容 进行 响应 ,如 发 送 路 线 图 ,具体 的 服务 内 容 由 
供应 商 提 供 , 其 过 程 的 主要 信息 流程 如 图 10. 4 所 示 。 


WR 中 心 
上 主动 定位 设备 | 让 
如 请 求 | | 数 和 
到 上 滑 |- 色 请 | 有线 或 | 有 性 请 来 -| 移动 定位 
移动 终端 |- 无 线 通信 | 服务 中 心 
有 六 到 据 ”上 天线 通信 ”有效 数 所 


图 104 LBS 系统 工作 流程 


10.3 地理 信 息 系 统 


作为 地 理 信息 系统 (GIS) 领 域 的 重要 组 成 部 分 ,LBS 是 移动 计算 环境 下 的 GIS( Mobile 
GIS, 移 动 GIS) ,是 一 种 特殊 类 型 的 GIS, 同 时 也 是 与 普通 大 众 日 常生 活 结合 最 为 紧密 的 
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GIS 领域 。GIS 是 获取 、 处 理 、 管 理 和 分 析 地 理 空间 数据 的 重要 工具 和 技术 。 从 技术 和 应 用 
的 角度 ,GIS 是 解决 空间 问题 的 工具 、 方 法 和 技术 ; 从 功能 的 角度 ,GIS 具有 空间 数据 的 获 
取 \ 存 储 、 显 示 、 编 辑 . 处理、 分 享 . 输 出 和 应 用 等 功能 。 凡 是 和 空间 位 置 相关 的 应 用 都 可 以 采 
用 GIS 技术 。 

GIS 的 任务 就 是 采集 ,存储 管理. 分析 和 显示 地 球 空间 信息 。 它 是 以 数字 化 的 形式 反 
映 人 类 社会 赖 以 生存 的 地 球 空间 的 现势 和 变迁 的 各 种 空间 数据 以 及 描述 这 些 空间 数据 特征 
的 属性 ,以 模拟 化 的 方法 来 模拟 地 球 空 间 对 象 的 行为 ,在 计算 机 软 \ 硬 件 的 支持 下 ,以 特定 的 
格式 支持 输入 /输出 、 存 储 、 显 示 以 及 进行 地 理 空间 信息 查询 ,综合 分 析 和 辅助 决策 的 有 效 
工具 。 

GIS 的 主要 特点 如 下 。 


1. 空间 可 视 化 


空间 可 视 化 是 指 具 有 空间 属性 信息 的 有 形 无 形 地 物 以 可 见 的 图 形 图 像 形式 表达 出 来 ， 
到 达 其 空间 信息 直观 可 视 的 目的 。 


2. 空间 分 析 


空间 分 析 是 GIS 强大 空间 功能 的 体现 。 主 要 包括 缓冲 区 分 析 、 番 加 分 析 和 各 种 空间 模 
拟 等 。 空 间 分 析 需 要 专题 元 素 模型 和 空间 地 学 模型 的 支持 。 根 据 空间 模型 ,GIS 可 以 完成 
复杂 空间 过 程 的 反 演 、 预 测 和 模拟 等 MIS( 管 理 信息 系统 ) 无 法 实现 的 功能 ,为 空间 决策 提供 
强 有 力 的 支持 。 


3. 空间 思维 


空间 思维 是 指 GIS 通过 其 功能 引导 决策 者 从 空间 信息 的 角度 考虑 分 析 问 题 ,引导 决策 
者 从 合理 利用 空间 资源 的 出 发 点 对 问题 进行 分 析 解 决 。 

在 资源 管理 ,社会 经 济 活动 和 人 们 生活 中 ,有 80% 以 上 的 信息 属于 具有 空间 位 置 特性 的 
地 理 信 息 。 无 线 移动 用 户 迫 切 想 知道 自己 当时 所 处 环境 的 信息 ,比如 ,“ 我 在 哪儿 ?”“ 我 附近 
是 什么 ?我 怎么 能 到 达 目 的 地 ?”“ 我 要 找 的 人 现在 在 何 处 ?” 等 ,是 任何 一 个 移动 用 户 到 一 
个 陌生 环境 中 经 常 要 问 的 首要 问题 。 

无 线 定位 技术 是 实现 无 线 定位 业务 的 技术 基础 ,无 线 定位 服务 与 Web GIS 是 不 同 的 ， 
它 不 仅仅 提供 用 户 的 静态 地 理 信息 ,而 且 能 够 定位 用 户 的 即时 位 置 。 设 想 如 果 我 们 希望 参 
观 一 个 博物 馆 , 登 录 到 Internet, 检 索 到 博物 馆 的 位 置 ,系统 帮助 我 们 选择 最 佳 路 线 等 ,但 是 
我 们 很 快 会 发 现 ,GIS 可 以 告诉 我 们 某 个 地 方 在 哪里 ,有 什么 特征 , 却 不 能 告诉 我 们 现在 在 
什么 地 方 。 例 如 ,Web GIS 仅仅 告诉 我 们 危险 地 段 在 哪里 ,至 于 你 是 否 在 这 种 危险 中 ,GIS 
并 不 知道 。 我 们 需要 更 深层 次 的 “位 置 服务 ”。 无 线 定位 技术 和 移动 通信 技术 的 结合 就 形成 
了 移动 定位 技术 , 它 提供 了 未 来 空间 信息 服务 和 移动 定位 服务 的 蓝图 。 


10.3.1 移动 GIS 


移动 GIS 是 以 移动 互联 网 为 支撑 ,以 智能 手机 或 平板 计算 机 为 终端 ,结合 北斗 .GPS 或 
基站 为 定位 手段 的 GIS 系统 ,是 继 桌 面 GIS、Web GIS 之 后 又 一 新 的 技术 热点 ,移动 定位 和 
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移动 办 公 等 越 来 越 成 为 企业 或 个 人 的 迫切 需求 ,移动 GIS 就 是 其 中 最 核心 的 部 分 ,使 得 各 种 
基于 位 置 的 应 用 层出不穷 。 相 较 于 传统 的 Web GIS 和 桌面 GIS ,移动 GIS 的 核心 技术 并 没 
有 什么 大 的 不 同 , 依 然 是 空间 数据 的 存储 、 索 引 、 浏 览 交互 .编辑 和 分 析 等 ,只 是 在 移动 设备 
上 需要 更 多 地 考虑 各 种 算法 效率 、 服 务 端 的 通信 交互 以 及 与 其 他 信息 的 集成 。 

移动 端 与 服务 端 通信 通常 有 两 种 模式 : 

(1) Socket 通信 : 需要 在 移动 端 和 服务 端 分 别 写 Socket 客户 端 程序 和 Socket 服务 端 程 
序 , 自 行 定 义 传输 信息 的 内 容 格式 。 这 种 模式 的 优点 是 通信 效率 高 ,一 直 连 线 , 易 实现 服务 
器 的 信息 下 达 ; 其 缺点 是 通用 性 不 好 , 较 复杂 。 

(2) HTTP 通信 ,服务 端 以 Web 服务 的 方式 对 外 发 布 服务 ,移动 端 以 HTTP 请 求 的 方 
式 获取 服务 端的 信息 ,并 能 上 传 信息 至 服务 端 ,可 以 是 KVP、SOAP 或 REST 服务 的 方式 ， 
在 移动 端 较 常用 的 是 KVP 方式 ,通信 的 数据 内 容 通 常 采用 XML 或 JSON 来 描述 。 具 体 选 
择 哪 种 交互 方式 应 根据 具体 项 目 需求 而 定 。 

当前 主流 的 移动 GIS 开发 组 件 是 UCMap。UCMap 支持 矢量 和 瓦 片 地 图 ,支持 在 线 和 
离线 ,在 各 行业 得 到 广泛 应 用 ,如 管线 巡 检 ,城管 巡查 、 移 动 执 法 .林业 普查 .水 利 普查 .应急 
联动 .农业 测 土 配方 .国土 监察 .实时 交通 .路政 巡 查 ,移动 气象 .地震 速 报 、 烟 草 物流 、 军 事 指 
挥 \ 移 动 测 绘 ,无线电 监测 ,移动 环保 和 LBS 服务 等 。 空 间 数 据 库 和 地 理 信息 服务 器 等 应 用 
服务 器 都 在 互联 网 上 运营 。 移 动 端 手机 设备 一 般 都 采用 瘦 客 户 端的 方式 ,通过 无 线 网 络 连 
人 因特网 , 同 应 用 服务 器 交互 。 移 动 GIS 的 结构 示意 如 图 10. 5 所 示 。 


移动 通信 网 络 


一 元 和、 


地 理 信息 服务 器 


LBS 信息 系统 的 开发 工具 可 选用 MapInfo MapX。MapX 是 一 个 基于 ActiveX(OCX) 
技术 的 可 编程 控件 ,是 MapInfo 公司 在 嵌入 式 GIS 开发 领域 的 主打 产品 。MapX 为 开发 人 
员 提 供 了 一 个 快速 . 易 用 、 功 能 强大 的 地 图 化 组 件 。 在 . NET 可 视 化 开发 环境 中 ,在 设计 阶 
段 将 MapX 控件 放 入 窗 体 中 ,并 对 其 进行 编程 ,设置 属性 或 调用 方法 或 相应 事件 , 即 可 实现 
数据 可 视 化 ,专题 分 析 , 地 理 查 询 , 地 理 编码 等 丰富 的 地 图 信息 系统 功能 。 

MapX 的 主要 功能 包括 : 显示 MapInfo 格式 的 地 图 ,对 地 图 进行 放大 、 缩 小、 漫游 和 选择 
等 操作 ,专题 地 图 ,图 层 控制 ,数据 绑 定 ,动态 图 层 和 用 户 绘图 图 层 ,生成 和 编辑 地 图 对 象 , 简 
单 地 理 查 询 , 边 界 查询 和 地 址 查询 。 


10.3.2 定位 技术 


定位 技术 是 LBS 的 核心 ,移动 定位 技术 是 利用 无 线 移动 通信 和 网络 ,通过 对 接收 到 的 无 
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线 电波 的 一 些 参 数 进行 测量 ,根据 特定 的 算法 对 某 一 移动 终端 或 个 人 在 某 一 时 间 所 处 的 地 
理 位 置 进行 精确 测定 ,以 便 为 移动 终端 用 户 提供 相关 的 位 置信 息 服 务 ,或 进行 实时 的 监测 和 
跟踪 。 

目前 全 球 范围 内 普遍 使 用 的 移动 定位 技术 主要 有 以 下 四 种 。 

(1) Cell-ID: 基于 移动 网 络 的 Cell-ID( 起 源 蜂 窝 小 区 ) ,基站 控制 站 会 将 用 户 所 在 基站 
扇 区 的 Cell-ID 传送 给 移动 交换 中 心 ,可 以 用 这 个 网 络 标志 来 确定 移动 终端 的 位 置 。 

Cell-ID 的 定位 精度 取决 于 小 区 的 大 小 ,所 以 它 对 基站 的 密度 有 很 大 的 依赖 性 。 它 的 好 
处 是 它 对 网 络 不 需要 任何 修改 ,降低 对 运营 商 的 成 本 。 

(2) TOA/TDOA 技术 。 

TOA(Time of Arrival) 是 使 用 到 达 时 间 定 位 技术 ,移动 终端 发 射 测量 信号 到 达 3 个 以 
上 的 基站 ,通过 测量 到 达 所 用 的 时 间 ( 须 保证 时 间 同 步 , 并 施 以 特定 算法 的 计算 ) ,实现 对 移 
动 终端 的 定位 ,如 图 10. 6 所 示 。 

TDOA(Time Difference of Arrival) 技术 (到 达 时 间 差 定位 技术 ) 是 使 用 EOTD( 增 强 型 
观测 时 间 差 分 ) 技 术 , 如 图 10.7 所 示 。 


相 邻 基站 RS 


图 106 TOA 技 术 图 107 TDOA 技 术 


EOTD( 增 强 型 观测 时 间 差 分 ) 技 术 简要 介绍 如 下 : 

QO 在 手机 一 侧 观 察 到 的 一 路 信 令 从 一 个 基站 到 达 手 机 的 时 间 (MOT)。 这 个 时 间 是 依 
照 手机 内 部 时 钟 测量 的 结果 。 

@ 在 特殊 位 置 测量 单元 一 侧 观察 到 的 一 路 信 令 从 一 个 基站 到 达 LMU( 定 位 测量 单元 ) 
的 时 间 (LOT)。 这 个 时 间 是 依照 LMU 内 部 时 钟 测量 的 结果 。 

@ 得 到 手机 和 LMU 内 部 时 钟 之 间 的 时 间 偏 移 量 e, 则 由 此 可 得 到 以 下 结果 : 手机 到 基 
站 之 间 的 距离 (DMB) 和 手机 到 LMU 之 间 的 距离 (DLB)。 

(3) 基于 终端 的 GPS 定位 技术 。 

(4) 网 络 与 终端 混合 的 A-GPS 技术 。 

定位 的 精度 ,根据 采用 技术 的 不 同 ,从 几 十 米 到 200m, 基 本 可 以 满足 普通 用 户 的 要 求 。 
在 这 方面 ,移动 设备 生产 商 已 经 做 了 大 量 的 工作 ,通过 在 现 有 的 移动 通信 和 网 络 中 增加 一 个 网 
络 节点 一 一 移动 定位 中 心 (Mobile Location Center,MLC) ,就 可 以 实现 基于 手机 的 定位 
业务 。 

现 有 的 LBS 定位 技术 主要 有 两 种 ,一 是 基于 GPS 技术 ,二 是 基于 基站 定位 技术 。 目 前 
手机 室外 定位 最 高 国际 技术 标准 是 由 美国 FCC( 联 邦 通信 委员 会 ) 所 制定 的 , 按 此 标准 ,定位 
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精确 度 在 50m 以 内 的 准确 率 达 到 67% ,定位 精度 在 150m 以 内 的 准确 率 需 达到 95% 即 为 合 
格 。 目 前 国际 上 也 没有 任何 一 套 成 熟 的 室内 定位 的 解决 方案 。 而 中 国 的 商业 中 心 往往 都 是 
在 室内 的 , 且 密 度 很 高 ,一 般 超出 几米 范围 就 是 不 同 的 商户 和 环境 了 。 所 以 ,目前 LBS 的 精 
准 定位 是 其 业务 广泛 开展 的 一 个 瓶颈 。 

各 种 定位 技术 的 指标 参见 表 10. 2 。 


表 10.2 各 种 定位 技术 的 比较 


定位 技术 室外 定位 /m | 室内 定位 /m | 冷 启 动 时 间 /s | 功 耗 | 同步 /异步 | 定位 计算 
基于 | GPS 5~80 无 法 定位 30~900 大 同步 终端 计算 
GPS | A-GPS 5~50 无 法 定位 10~30 小 同步 网 络 计算 
CelLID 小 区 
定位 100~30 000| 150 一 30 000 3 / / 基站 计算 
(GSM/CDMA) 
二 二 EOTD 
网 络 (SEE 50~150 50~500 3~6 天 异步 网 络 计算 
AFLT 
(EDMADY 50~150 50~500 3~6 / 同步 网 络 计算 
gpsOne 
(CDMA 手机 | 5 一 50 100 一 200 10 一 30 小 同步 网 络 计算 
混合 | 辅助 ) 
定位 gpsOne 
(CDMA 手机 | 5 一 50 100 一 200 3 一 30 较 小 同步 终端 计算 
定位 ) 


LBS 技术 是 多 种 技术 的 综合 体 。 这 种 综合 体 有 其 优越 性 ,但 也 导致 LBS 的 发 展 同 时 受 
制 于 这 些 因 素 。 当 前 LBS 发 展 所 面临 的 主要 问题 在 于 移动 设备 的 硬件 性 能 较 低 ,移动 互联 
网 的 传输 带宽 较 小 ,空间 定位 技术 的 定位 精度 参差 不 齐 ,服务 的 范围 及 质量 无 法 得 到 有 效 的 
保证 ,以 及 信息 表现 方式 单一 等 等 。 


10.4 隐私 保护 


“隐私 ”一 词 源 于 英文 privacy, 又 被 称 为 私生活 秘密 ,是 指 私 人 生活 安宁 不 受 他 人 非法 
干扰 ,私人 信息 保密 不 受 他 人 非法 搜集 和 公开 等 。 自 1890 年 美国 法 学 家 布 兰 带 斯 和 华 伦 首 
次 提出 隐私 权 (the right to privacy) 概 念 至 今 ,国内 外 学 者 们 对 此 概念 的 界定 仍然 有 着 不 同 
的 见解 ,但 一 般 都 认为 它 是 一 项 独立 的 人 格 权 , 它 的 主体 只 限于 自然 人 ,其 客体 是 隐私 ,包括 
个 人 信息 、 私 人 活动 和 个 人 领域 ;其 内 容 包 括 隐 私 的 隐瞒 权 、 维 护 权 、 利 用 权 以 及 支配 权 。 


10.4.1 隐私 的 定义 


1. 隐私 的 定义 
简单 地 说 ,隐私 就 是 个 人 和 机 构 等 实体 不 愿意 被 外 部 世界 知晓 的 信息 。 在 具体 应 用 中 ， 


312 


第 10 章 位 置信 息 与 隐私 保护 


隐私 即 为 数据 所 有 者 不 愿意 被 披露 的 敏感 信息 ,包括 敏感 数据 以 及 数据 所 表征 的 特性 。 通 
常 我 们 所 说 的 隐私 都 指 敏感 数 据 ,如 个 人 的 薪资 ,病人 的 患 病 记录 和 公司 的 财务 信息 等 。 但 
当 针 对 不 同 的 数据 以 及 数据 所 有 者 时 ,隐私 的 定义 也 会 存在 差别 的 。 例 如 保守 的 病人 会 视 
疾病 信息 为 隐私 ,而 开放 的 病人 却 不 视 之 为 隐私 。 一 般 地 ,从 隐私 所 有 者 的 角度 而 言 ,隐私 
可 以 分 为 两 类 : 

(1) 个 人 隐私 (individual privacy) : 任何 可 以 确认 特定 个 人 或 与 可 确认 的 个 人 相关 ,但 
个 人 不 愿 被 暴露 的 信息 ,都 叫做 个 人 隐私 ,如 身份 证 号 和 就 诊 记录 等 。 

(2) 共同 隐私 (corporate privacy) : 共同 隐私 不 仅 包含 个 人 的 隐私 ,还 包含 所 有 个 人 共 
同 表现 出 但 不 愿 被 暴露 的 信息 ,如 公司 员工 的 平均 薪资 和 薪资 分 布 等 信息 。 


2. 隐私 的 度量 


数据 隐私 的 保护 效果 是 通过 攻击 者 披露 隐私 的 多 寡 来 侧面 反映 的 。 现 有 的 隐私 度量 都 
可 以 统一 用 “披露 风险 ”(disclosure risk) 来 描述 。 披 露 风险 表示 攻击 者 根据 所 发 布 的 数据 和 
其 他 背景 知识 (background knowledge) 可 能 披露 隐私 的 概率 。 通 常 ,关于 隐私 数据 的 背景 
知识 越 多 ,披露 风险 越 大 。 
若 s 表示 敏感 数据 ,事件 Sk 表示 ”攻击 者 在 背景 知识 天 的 帮助 下 揭露 敏感 数据 ;”,Pr 表示 
事件 的 发 生 概率 , 则 披露 风险 r(s,K) 表 示 为 
r(s,K)=Pr(Sk) 


10.4.2 网 络 隐私 权 


1. 网 络 隐私 权 的 界定 


网 络 隐私 权 并 非 一 种 完全 新 型 的 隐私 权 , 而 是 作为 隐私 权 在 网 络 空间 的 延伸 。 目 前 学 
界 对 此 尚 没 有 明确 的 概念 。 通 常 认为 网 络 隐私 权 是 指 在 网 络 环境 中 ,公民 享有 私人 生活 安 
宁 和 私人 信息 依法 受到 保护 ,不 被 他 人 非法 侵犯 知悉、 搜集 、 利 用 或 公开 的 一 种 人 格 权 。 


2. 网 络 隐私 权 的 内 容 


个 人 信息 、 私 人 生活 安宁 、 私 人 活动 与 私人 领域 是 网 络 隐私 包含 的 重要 内 容 , 其 中 尤 以 
个 人 信息 最 为 重要 。 

个 人 信息 又 称 为 个 人 识别 资料 。 结 合 我 国 的 实际 ,通常 包括 姓名 、 性 别 \ 年 龄 .电话 号 
码 、 通 讯 地 址 、 血 型 .民族 文化 程度 、 婚 姻 家 庭 状 况 、 病 史 、 职 业经 历 、 财 务 资料 和 犯罪 记录 等 
内 容 , 在 网 络 环境 中 的 个 人 信息 是 以 个 人 数据 的 形式 存在 。 


3. 网 络 个 人 (数据 ) 信 息 隐私 权 的 内 容 


网 络 个 人 (数据 ) 信 息 隐 私 权 的 内 容 具体 包括 以 下 内 容 : 

(1) 知情 权 : 任何 个 人 都 有 权 知 道 网 站 收集 了 关于 自己 的 哪些 信息 ,以 及 这 些 信 息 的 用 
途 、 目 的 和 使 用 等 情况 。 

(2) 选择 权 : 即 个 人 在 知情 权 的 基础 上 享有 对 网 上 个 人 资料 的 使 用 用 途 拥有 选择 权 。 

(3) 控制 权 : 即 个 人 能 够 通过 合理 的 途径 访问 、 查 阅 、 修 改 和 删除 网 络 个 人 信息 资料 , 同 
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时 ,个 人 资料 非 经 本 人 同意 不 得 被 随意 公开 和 处 置 。 
(4) 安全 请 求 权 : 个 人 有 权 要 求 网 络 个 人 信息 资料 的 持 有 人 采取 必要 、 合 理 的 技术 措施 
保证 其 资料 的 安全 ; 当 要 求 被 拒绝 或 个 人 信息 被 泄露 后 ,有 权 提 起 司法 或 者 行政 救济 。 


4. 其 他 


此 外 ,网 络 隐私 权 还 应 包括 个 人 有 权 按 照 自己 的 意志 在 网 上 从 事 或 不 从 事 某 种 与 社会 
公共 利益 无 关 的 活动 (如 网 上 交易 .通信 和 下 载 文件 等 ), 不 受 他 人 的 干扰 .干涉 、 破 坏 或 支 
配 。 任 何人 ,包括 网 络 服务 商 , 不 得 不 适当 地 侵入 他 人 的 网 络 空间 和 罕 视 ,泄露 他 人 的 私事 。 
10.4.3 侵犯 网 络 隐私 权 的 主要 现象 


当前 侵犯 网 络 隐私 权 的 主要 现象 包括 : 

(1) 大 量 的 网 站 通过 合法 的 手段 (要 求 用 户 填写 注册 表格 ) 或 者 是 隐蔽 的 技术 手段 搜集 
到 网 络 用 户 的 个 人 信息 ,由 于 缺少 强 有 力 的 外 部 监督 ,网 站 可 能 不 当 使 用 个 人 信息 (如 共享 、 
出 租 或 转 售 ) 从 而 泄露 用 户 的 个 人 资料 。 

(2) 由 于 利益 的 驱使 ,网 络 中 产生 了 大 批 专门 从 事 网 上 调查 业务 的 公司 ,进行 窥探 业 
务 ,非法 获取 和 利用 他 人 的 隐私 。 此 类 公司 使 用 具有 跟踪 功能 的 Cookie 工具 浏览 和 定时 跟 
踪 用 户 站 上 所 进行 的 操作 自动 记录 用 户 访问 的 站 点 和 内 容 , 从 而 建立 庞大 的 资料 库 。 任 何 
机 构 和 个 人 只 需 支 付 低廉 的 费用 ,都 可 以 获取 他 人 详细 的 个 人 资料 。 

(3) 有 些 软 件 和 硬件 厂商 开发 出 各 种 互联 网 跟踪 工具 用 于 收集 用 户 的 隐私 ,加 之 网 站 
出 于 经 济 利益 考虑 、 对 于 此 类 行为 有 时 会 听 之 任 之 ,使 得 人 们 在 网 络 上 就 像 生活 在 透明 玻璃 
缸 里 的 金鱼 ,已 经 没有 隐私 可 言 。 

(4) 黑客 (hacker) 未 经 授权 进入 他 人 系统 收集 资料 或 打扰 他 人 安宁 ,截获 或 复制 他 人 正 
在 传递 的 电子 信息 。 人 窃取 和 自 改 网 络 用 户 的 私人 信息 ,其 至 制造 和 传播 计算 机 病毒 ,破坏 他 
人 的 计算 机 系统 ,从 而 引发 个 人 数据 隐私 权 保护 的 法 律 问题 。 

(5) 某 些 网 络 的 所 有 者 或 管理 者 甚至 是 政府 机 构 都 可 能 通过 网 络 中 心 监视 或 窃听 局 域 
网 内 的 其 他 计算 机 ,监控 网 内 人 员 的 电子 邮件 。 

(6) 公民 个 人 缺乏 隐私 权 的 法 律 意识 ,未 经 授权 在 网 络 上 公开 或 转让 他 人 或 自己 和 他 
人 之 间 的 隐私 。 

此 外 ,还 有 垃圾 邮件 和 广告 铺天盖地 、 频 频 骚 扰 ,对 私人 领域 和 私人 生活 的 安宁 造成 侵 
害 ,占据 消费 者 有 限 的 邮箱 空间 或 增加 消费 者 的 额外 支出 。 

正 是 由 于 互联 网 络 操作 简便 、 管 理 松散 等 原因 ,导致 个 人 信息 被 泄露 ,不 仅 干扰 了 人 们 
的 生活 秩序 和 精神 的 安宁 、 甚 至 个 人 财产 和 生命 安全 也 受到 威胁 。 有 关 资 料 显示 ,2006 年 
美国 有 6. 8 万 名 用 户 的 信用 卡 被 盗 刷 ;中 国 第 一 大 同学 门户 网 站 5460 的 客户 资料 被 
Uelo 网 站 资 取 ,9000 万 条 个 人 信息 被 泄露 。 


10.4.4 ”侵犯 网 络 隐私 权 的 主要 技术 手段 
侵犯 网 络 隐私 权 的 主要 技术 手段 有 如 下 几 种 。 


(1) 利用 在 线 注 册 收 集 隐 私信 息 。 
用 户 在 获得 各 种 Web 服务 ,如 申请 邮箱 、 注 册 抽 奖 或 是 网 上 购物 等 之 前 ,网 站 常常 要 求 
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用 户 填写 一 个 登记 单 ,作为 用 户 利用 其 某 项 服务 的 前 提 条 件 。 这 种 登记 单 需 要 用 户 输入 许 
多 个 人 信息 ,如 年 龄 ,性别 、 出 生年 月 \ 收 入 、 职 业 和 个 人 爱好 等 。 如 263 网 站 的 免费 电子 邮 
件 服务 登记 单 就 有 十 几 项 之 多 。 

(2) 利用 IP 地 址 跟踪 用 户 的 位 置 或 行踪 。 

基于 HTTP 的 Web 浏览 在 互联 网 上 应 用 最 广泛 ,HTTP 是 一 个 服务 器 和 客户 机 之 间 
的 交互 协议 ,用 于 分 布 式 . 协 作 式 的 超 媒体 的 信息 系统 , 它 运 行 在 一 个 可 靠 的 传输 协议 (如 
TCP) 上 面 。 在 Web 服务 器 和 客户 机 建立 会 话 时 ,IP 地 址 ,URL 和 软件 版 本 等 信息 都 将 被 
传送 到 服务 器 。 因 此 。 对 方 可 利用 IP 地 址 跟踪 用 户 的 位 置 或 在 线 行为 等 。 特 别 是 随 着 
IPv6 的 使 用 ,HTTP 的 消息 头 中 将 包含 更 直接 的 位 置信 息 。 

(3) 利用 Cookie 文件 收集 用 户 的 隐私 信息 。 

Cookie 是 服务 器 存放 在 客户 机 上 的 一 个 文件 ,该 文件 包含 有 用 户 所 访问 的 网 页 和 访问 
时 间 , 甚 至 含有 电子 邮箱 密码 等 。 采 用 Cookie 机 制 ,指定 了 一 种 用 HTTP 请 求 和 回复 消息 
创建 状态 会 话 的 方式 , 它 描述 了 两 个 新 的 标 头 : Cookie 和 Set-Cookie 头 , 用 于 携带 参与 的 服 
务 器 和 客户 机 的 状态 信息 。 因 此 ,Cookie 具有 重 构 网 络 用 户 所 从 事 的 网 络 活动 的 功能 ,通过 
对 用 户 在 网 络 上 访问 网 站 ,查看 产品 广告 和 购买 产品 等 行为 的 跟踪 ,结合 网 络 注册 系统 ,就 
可 以 得 出 用 户 的 健康 状况 .休闲 嗜 好 ,政治 倾向 和 宗教 信仰 等 信息 ,从 而 生成 有 关 用 户 的 个 
人 档案 。 

(4) 利用 特洛伊 木马 病毒 窃取 隐私 信息 。 

当 用 户 从 网 站 下 载 免费 软件 并 安装 时 ,如 果 该 软件 中 含有 特洛伊 木马 病毒 , 则 它 可 窃取 
用 户 的 隐私 信息 而 上 传 给 网 站 。 

(5) 利用 嵌入 式 软件 收集 隐私 信息 。 

如 今 ,计算 机 语言 如 Java、JavaScript、XML 和 ActiveX 等 的 功能 越 来 越 强 ,它们 人 允许 远 
端的 服务 器 运行 客户 机 上 的 应 用 软件 ,这 些 软件 可 将 客户 机 的 计算 环境 和 个 人 数据 传送 给 
服务 器 。 随 着 高 速 宽带 网 在 娱乐 业 中 的 应 用 ,这 种 隐私 泄露 现象 将 会 越 来 越 突出 。 

(6) 利用 Web Beacon 窃取 隐私 信息 。 

Web Beacon 也 称 Web 臭虫 或 电子 影像 ,由 于 它 是 被 定义 在 HTML 脚本 文件 的 IMG 
标记 中 , 且 大 小 为 1* 1 的 图 片 ,因此 用 户 在 网 页 上 是 无 法 看 见 的 。 它 通常 是 被 第 三 方 置 于 
网 页 中 用 于 监控 访问 该 网 页 用 户 的 行为 。 如 用 户 点 击 的 内 容 或 统计 访问 网 页 的 人 次 。 更 有 
其 者 ,通过 链接 远 端的 服务 器 ,可 秘密 地 在 客户 机 上 存放 一 个 Cookie 文件 并 收集 用 户 输入 
的 关键 字 等 。 

(7) 利用 自 改 网 页 收集 隐私 信息 。 

攻击 者 有 两 种 方法 算 改 网 页 : 一 是 攻击 者 首先 让 用 户 访问 他 的 网 页 ,例如 ,网 页 通 
过 提供 一 些 有 趣 或 好 笑 的 内 容 来 吸引 用 户 。 实 际 上 ,他 的 网 页 是 一 个 陷阱 , 当 用 户 点 击 
网 页 上 其 他 的 链接 时 ,就 会 被 带 到 一 个 错误 的 网 页 上 去 ,因为 这 个 链接 已 经 被 攻击 者 算 
改 了 。 二 是 攻击 者 修改 了 用 户 的 URL( 如 书签 ), 当 用 户 想 要 去 一 个 真 的 服务 器 网 页 
时 ,被 算 改 的 URL 就 会 带 用 户 去 攻击 者 的 机 器 ,攻击 者 可 能 给 用 户 一 个 错误 的 网 页 ,或 
者 将 原始 的 URL 请 求 传 到 真 的 网 页 服务 器 上 ,然后 攻击 者 截取 其 响应 。 这 样 ,攻击 者 
通过 提供 错误 的 网 页 ,可 获取 用 户 访问 了 哪个 网 页 ,在 网 页 表格 中 输入 了 哪些 数据 等 隐 
私信 息 。 
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10.4.5 网 络 隐私 权 的 相关 法 律 保护 


我 国 (计算 机 信息 网 络 国际 联网 安全 保护 管理 办 法 ) 第 7 条 规定 :“ 用 户 的 通信 自由 和 
通信 秘密 受 法 律 保护 。 任 何 单位 和 个 人 不 得 违反 法 律 规定 ,利用 国际 联网 侵犯 用 户 的 通信 
自由 和 通信 秘密 。”《 计 算 机 信息 网 络 国际 联网 管理 暂行 规定 实施 办 法 ) 第 18 条 规定 :“ 不 得 
擅自 进入 未 经 许可 的 计算 机 系统 , 算 改 他 人 信息 , 冒 用 他 人 名 义 发 出 信息 ,侵犯 他 人 隐私 。” 

我 国 现行 法 律 已 经 开始 重视 对 隐私 的 保护 ,特别 是 司法 解释 将 其 作为 一 项 人 格 利益 加 
以 保护 ,无 疑 是 立法 的 一 大 进步 。 而 一 些 保护 网 络 隐私 权 的 法 律 \ 法 规 的 颁布 ,表明 网 络 隐 
私 权 的 法 律 保护 已 开始 呈现 出 独立 化 和 特别 化 的 趋势 ,制定 旨 在 保护 个 人 网 络 隐 私 权 的 单 
行 法 律 法 规 指日可待 。 

但 是 我 国 的 隐私 权 立 法 存在 着 极 大 的 不 足 : 

(1) 我 国 现行 的 法 律 条 文中 没有 直接 出 现 * 隐 私 权 "一 词 ,也 并 没有 具体 规定 隐私 权 的 
内 容 和 侵犯 隐私 权 行为 的 方式 ,宪法 只 原则 性 地 规定 了 公民 的 人 格 尊严 .住宅 和 通信 秘密 不 
受 非法 侵犯 ,为 隐私 权 在 其 他 法 律 部 门 中 的 保护 提供 了 依据 , 却 没有 相关 法 律 的 配套 ,实际 
可 操作 性 差 。 

(2) 我 国法 律 是 通过 保护 名 誉 权 的 方式 来 间接 保护 公民 的 隐私 权 。 尽 管 名 誉 权 和 隐私 
权 存 在 密切 关系 ,甚至 可 能 重合 ,但 两 者 仍 具 有 本 质 的 差别 。 


10.4.6 隐私 保护 技术 


隐私 保护 技术 需要 在 保护 数据 隐私 的 同时 不 影响 数据 应 用 。 根 据 采 用 技术 的 不 同 ,出 
现 了 数据 失真 .数据 加 密 和 限制 发 布 等 隐私 保护 技术 。 


1. 隐私 保护 技术 分 类 


没有 任何 一 种 隐私 保护 技术 适用 于 所 有 应 用 。 一 般 将 隐私 保护 技术 分 为 3 类 : 

1) 基于 数据 失真 (distorting) 的 技术 

使 敏感 数据 失真 但 同时 保持 某 些 数据 或 数据 属性 不 变 的 方法 。 例 如 ,采用 添加 噪声 
(adding noise) 和 交换 (swapping) 等 技术 对 原始 数据 进行 扰动 处 理 , 但 要 求 保 证 处 理 后 的 数 
据 仍 然 可 以 保持 某 些 统计 方面 的 性 质 . 以 便 进行 数据 挖掘 等 操作 。 

2) 基于 数据 加 密 的 技术 

采用 加 密 技术 在 数据 挖掘 过 程 中 隐藏 敏感 数据 。 该 方法 多 用 于 分 布 式 应 用 环境 中 ,如 
安全 多 方 计算 (Secure Multiparty Computation, SMC)。 

3) 基于 限制 发 布 的 技术 

根据 具体 情况 有 条 件 地 发 布 数据 ,如 发 布 的 数据 中 不 发 布 数据 的 某 些 域 值 . 数 据 泛 化 
(generalization) 等 。 

另外 ,对 于 许多 新 方法 ,由 于 其 融合 了 多 种 技术 ,很 难 将 其 简单 地 归 到 以 上 某 一 类 ,但 它 
们 在 利用 某 类 技术 的 优势 的 同时 ,将 不 可 避免 地 引入 其 他 的 缺陷 。 基 于 数据 失真 的 技术 , 效 
率 比较 高 ,但 却 存在 一 定 程度 的 信息 丢失 ;基于 加 密 的 技术 则 刚好 相反 , 它 能 保证 最 终 数 据 
的 准确 性 和 安全 性 ,但 计算 开销 比较 大 。 而 限制 发 布 技术 的 优点 是 能 保证 所 发 布 的 数据 一 
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定 真实 ,其 缺点 是 发 布 的 数据 会 有 一 定 的 信息 丢失 。 
2. 隐私 保护 技术 的 性 能 评估 


隐私 保护 技术 需要 在 保护 隐私 的 同时 兼顾 对 应 用 的 价值 以 及 计算 开销 。 通 常 从 以 下 3 方 
面 对 隐 私 保护 技术 进行 度量 。 

1) 隐私 保护 度 

隐私 保护 度 通常 通过 发 布 数据 的 披露 风险 来 反映 ,披露 风险 越 小 ,隐私 保护 度 越 高 。 

2) 数据 缺损 

数据 缺损 是 对 发 布 数 据 质量 的 度量 , 它 反映 通过 隐私 保护 技术 处 理 后 数据 的 信息 丢失 : 
数据 缺损 越 高 , 信息 丢失 越 多 ,数据 利用 率 (Utility) 越 低 。 具 体 的 度量 有 信息 缺损 
(information loss) 、 重 构 数 据 与 原始 数据 的 相似 度 等 。 

3) 算法 性 能 

一 般 利 用 时 间 复 杂 度 对 算法 性 能 进行 度量 。 例 如 ,采用 抑制 (suppression) 实 现 最 小 化 
的 匿名 问题 已 经 证 明 是 NP-hard 问题 ;时 间 复 杂 度 为 O(k) 的 近似 匿名 算法 显然 优 于 复 
杂 度 为 O(klogk) 的 近似 算法 。 均 挫 代 价 (amortized cost) 是 一 种 类 似 于 时 间 复 杂 度 的 度量 ， 
它 表示 算法 在 一 段 时 间 内 平均 每 次 操作 所 花费 的 时 间 代 价 。 除 此 之 外 ,在 分 布 式 环境 中 , 通 
信和 开销 (communication cost) 也 常常 关系 到 算法 性 能 , 常 作为 衡量 分 布 式 算法 性 能 的 一 个 重 
要 指标 。 


3. 物 联网 隐私 保护 技术 


在 物 联网 发 展 过 程 中 , 大 量 的 数据 涉及 个 体 隐私 问题 (如 个 人 出 行路 线 、 消 费 习惯 \ 个 
体位 置信 息 、 健 康 状况 和 企业 产品 信息 等 ), 物 联网 得 到 广泛 应 用 必 备 的 条 件 之 一 便 是 保护 
隐私 。 如 果 无 法 保护 隐私 , 物 联 网 可 能 面临 由 于 侵害 公民 隐私 权 从 而 无 法 大 规模 商用 化 的 
局 面 。 因 此 隐私 保护 是 必须 考虑 的 一 个 问题 。 

业务 应 用 常 依赖 地 点 作为 判定 决策 的 参 变量 ,手机 用 户 通过 手机 查询 远程 数据 库 , 寻 找 
离 自 己 最 近 的 事件 地 点 ,例如 火车 站 、 加 油 站 等 ,这 项 业务 依赖 当时 用 户 所 处 的 地 点 。 但 是 ， 
使 用 手机 查询 的 客户 却 不 希望 泄露 自己 的 地 理 位 置 ,从 而 保护 自己 不 受到 跟踪 。 保 护 用 户 
的 地 点 隐私 就 成 为 普 适 计算 应 用 的 重要 问题 之 一 。 这 个 问题 可 以 叙述 为 使 用 用 户 的 地 点 信 
息 ,但 是 不 把 地 点 信息 透漏 给 服务 的 提供 者 或 者 第 三 方 。 

这 类 隐私 保护 问题 可 以 采用 计算 几何 方法 解决 。 在 移动 通信 的 场景 下 ,对 于 地 点 以 及 
2G、3G 移动 系统 的 身份 隐私 问题 ,可 以 使 用 安全 多 方 计 算 解 决 空间 控制 和 地 点 隐私 的 方案 ， 
隐私 保护 协议 描述 为 三 路 身份 认证 ,在 新 的 漫游 地 区 内 使 用 基于 加 密 的 身份 标识 方案 。 

同样 ,在 近 距 离 通信 环境 中 ,RFID 芯片 和 RFID 阅读 器 之 间 通 信 时 ,由 于 RFID 芯片 使 
用 者 的 距离 和 RFID 阅读 器 太 近 。 以 至 于 阅读 器 的 地 点 无 法 隐藏 ,保护 使 用 者 的 地 点 的 唯 
一 方法 便 是 使 用 安全 多 方 计 算 的 临时 密码 组 合 保护 并 隐藏 RFID 的 标识 。 

从 技术 角度 看 当前 隐私 保护 技术 主要 有 两 种 方式 : 

(1) 采用 匿名 技术 , 主要 包括 基于 代理 服务 器 .路 由 和 洋葱 路 由 的 匿名 技术 。 

(2) 采用 署名 技术 , 主要 是 P3P 技术 , 即 隐 私 偏 好 平台 。 然 而 P3P 仅仅 是 增加 了 隐私 
政策 的 透明 性 ,使 用 户 可 以 清楚 地 知道 个 体 的 何 种 信息 被 收集 .用 于 何 种 目的 以 及 存储 多 长 
时 间 等 , 其 本 身 并 不 能 保证 使 用 它 的 各 个 Web 站 点 是 否 履行 其 隐私 政策 。 
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除了 上 述 两 种 方式 外 , 隐私 保护 技术 还 有 两 个 主要 的 发 展 方向 : 

(1) 对 等 计算 (Peer to Peer, P2P) , 指 通过 直接 交换 共享 计算 机 资源 和 服务 。 

(2) 语义 Web, 语义 Web 是 通过 规范 定义 和 组 织 信息 内 容 , 使 之 具有 语义 信息 ,能 被 
计算 机 理解 , 从 而 实现 与 人 的 沟通 。 

这 两 种 技术 目前 尚 在 研究 之 中 。 除 此 之 外 , 研究 人 员 还 提出 了 基于 安全 多 方 计算 的 隐 
私 保护 .私有 信息 检索 (PIR)`VPN TLS ,域名 安全 扩展 (DNSSEC) 和 位 置 隐私 保护 等 方式 。 


10.5 基于 位 置 服务 的 隐私 保护 


隐私 保护 不 是 指 要 保护 用 户 的 个 人 信息 不 被 他 人 使 用 ,而 是 指 用 户 对 个 人 信息 进行 有 效 
控制 的 权利 。 位 置信 息 是 一 种 特殊 的 个 人 隐私 信息 ,对 其 进行 保护 就 是 要 给 予 所 涉及 的 个 人 
决定 和 控制 自己 所 处 位 置 的 信息 何 时 、 如 何 及 在 何 种 程度 上 被 他 人 获知 的 权利 。 因 此 ,按照 对 
用 户 隐私 信息 进行 保护 的 要 求 ,LBS 服务 提供 商 必须 为 用 户 提供 一 种 完全 由 用 户 本 人 控制 其 
位 置信 息 能 否 被 他 人 获取 的 方式 ,使 得 用 户 可 以 决定 在 何 种 环境 下 将 其 位 置信 息 告知 何人 。 

目前 ,已 有 多 种 针对 LBS 中 用 户 位 置信 息 的 隐私 保护 方法 ,如 通过 立法 或 行业 规范 的 
方式 进行 保护 、 通 过 匿名 的 方式 进行 保护 、 通 过 区 域 模糊 的 方式 进行 保护 以 及 通过 隐私 策略 
的 方式 进行 保护 等 。 由 于 隐私 信息 的 保护 被 视 为 用 户 对 个 人 隐私 信息 的 访问 和 使 用 提供 有 
效 控制 的 权利 和 手段 ,再 加 上 个 人 对 隐私 保护 需求 的 不 同 , 所 以 用 户 分 别 设置 相应 的 隐私 策 
略 来 保护 个 人 的 隐私 成 为 目前 众多 隐私 信息 保护 方法 中 最 有 效 的 方法 之 一 。 

另外 ,在 某 些 LBS 服务 中 ,对 一 个 用 户 的 位 置信 息 的 访问 可 能 需要 被 多 个 用 户 同时 控 
制 。 例 如 ,家 长 可 以 使 用 GPS 设备 通过 提供 的 LBS 服务 跟踪 孩子 的 位 置 ,以 确保 孩子 的 安 
全 。 家 长 也 同时 有 权利 控制 孩子 的 位 置信 息 可 以 被 他 人 访问 ,还 有 必要 提供 必须 同时 获得 
父母 亲 授 权 才能 访问 孩子 位 置信 息 的 机 制 以 达到 更 灵活 、 更 完善 地 进行 保护 的 目的 。 因 此 ， 
隐私 保护 方法 必须 能 方便 ,灵活 地 满足 在 所 有 的 情况 下 每 个 用 户 对 隐私 保护 的 不 同 需求 。 


10.5.1 隐私 保护 问题 


1. 应 用 分 类 


根据 服务 面向 对 象 的 不 同 ,LBS 可 以 分 为 面向 用 户 和 面向 设备 两 种 。 两 种 服务 的 主要 
区 别 在 于 ,面向 用 户 的 LBS, 用 户 对 服务 拥有 主 控 权 ;面向 设备 的 LBS, 用 户 或 物品 属于 被 动 
定位 ,对 服务 无 主 控 权 。 

根据 服务 的 推送 方式 的 不 同 ,LBS 应 用 可 以 分 为 Push 服务 和 Pull 服务 。 前 者 是 被 动 
接受 ,后 者 是 主动 请 求 。 下 面 用 4 个 例子 说 明 上 述 分 类 。 当 你 进入 某 城市 时 收 到 欢迎 信息 
属于 面向 用 户 ( 你 ) 的 Push 服务 (欢迎 信息 被 主动 推送 到 你 的 移动 设备 上 ); 而 你 在 该 城市 主 
动 提出 寻找 最 邻近 和 餐馆 属于 面向 用 户 ( 你 ) 的 Pull 服务 ;假如 你 是 某 物流 公司 老板 , 当 你 的 公 
司 负责 运输 的 货物 偏离 预计 轨道 时 将 向 你 发 出 警报 信息 ,这 属于 面向 设备 (货物 ) 的 Push 服 
务 ( 消 息 被 推送 到 物流 公司 老板 的 移动 设备 上 ); 如 果 你 主动 请 求 查看 货物 运送 卡车 目前 所 
在 位 置 ,属于 面向 设备 (货物 ) 的 Pull 服务 。 
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2. 基于 位 置 的 服务 与 隐私 


很 多 调查 研究 显示 ,消费 者 非常 关注 个 人 隐私 保护 。 欧 洲 委员 会 通过 的 《隐私 与 电子 通信 
法 ) 中 对 于 电子 通信 处 理 个 人 数据 时 的 隐私 保护 问题 给 出 了 明确 的 法 律 规定 。 在 2002 年 制定 
的 Directive 文本 中 ,对 位 置 数据 的 使 用 进行 了 规范 ,其 中 条 款 9 明确 指出 位 置 数据 只 有 在 匿名 或 
户 同意 的 前 提 下 才能 被 有 效 并 必要 的 服务 使 用 。 这 突显 了 位 置 隐私 保护 的 重要 性 与 必要 性 。 
此 外 ,在 运营 商 方面 ,全 球 最 大 的 移动 通信 运营 商 沃达丰 (Vodafone) 制 定 了 一 套 隐 私 管理 业务 条 
例 , 要 求 所 有 为 沃达丰 客户 提供 服务 的 第 三 方 必须 遵守 ,这 体现 了 运营 商 对 隐私 保护 的 重视 。 


3. 隐私 泄露 


LBS 中 的 隐私 内 容 涉及 两 个 方面 : 位 置 隐私 和 查询 隐私 。 位 置 隐私 中 的 位 置 指 用 户 过 
去 或 现在 的 位 置 ;查询 隐私 指 涉及 敏感 信息 的 查询 内 容 , 如 查询 距离 我 最 近 的 艾滋 病 医院 。 
任何 一 种 隐私 泄露 ,都 有 可 能 导致 用 户 行为 模式 兴趣 爱 好 、 健 康 状 况 和 政治 倾向 等 个 人 隐 
私信 息 的 泄露 。 

所 以 ,位 置 隐私 保护 即 防止 用 户 与 某 一 精确 位 置 匹配 ;类 似 地 ,查询 隐私 保护 要 防止 用 
户 与 某 一 敏感 查询 匹配 。 


4. 位 置 服务 VS 隐私 保护 


回想 一 下 ,我 们 似乎 正面 临 一 个 两 难 的 抉择 。 一 方面 ,定位 技术 的 发 展 让 我 们 可 以 随时 
随地 获得 LBS; 而 另 一 方面 ,位 置 服务 又 将 泄露 我 们 的 隐私 。 当 然 , 可 以 放弃 隐私 ,获得 精确 
的 位 置 ,享受 完美 的 服务 ;或 者 可 以 关 掉 定位 设备 ,为 了 保护 隐私 而 放弃 任何 位 置 服务 。 是 
否 存 在 折 中 的 方法 , 即 在 保护 隐私 的 前 提 下 享受 服务 呢 ? 可 以 ,位 置 隐私 保护 研究 所 做 的 工 
作 就 是 要 在 隐私 保护 与 享受 服务 之 间 寻 找 一 个 平衡 点 ,让 鱼 与 熊 掌 兼 得 成 为 可 能 。 


10.5.2 隐私 保护 方法 


为 对 LBS 中 的 用 户 位 置 隐私 进行 保护 ,整个 使 用 过 程 分 为 两 部 分 : 访问 权限 设置 和 访 
问 控制 决策 。 

首先 ,所 有 某 一 位 置信 息 相关 的 隐私 相关 者 设置 相对 于 该 位 置信 息 对 所 有 信息 请 求 者 
的 访问 权限 。 通 过 权限 的 设置 ,隐私 相关 者 可 以 设置 哪些 信息 请 求 者 可 以 在 什么 环境 下 (如 
时 间 、 地 点 等 ) 获 取 该 位 置信 息 的 全 部 或 某 些 部 分 。 例 如 ,在 每 天 的 8:00 一 17:00, 当 位 置信 
息 的 隐私 相关 者 在 北京 工业 大 学 时 ,允许 某 些 请 求 者 得 知 其 所 在 的 精确 位 置信 息 , 即 北京 市 
朝阳 区 平 乐园 100 号 ;而 对 另外 一 些 请 求 者 ,只 允许 得 知 其 所 在 的 位 置 是 北京 。 

在 访问 控制 矩阵 中 设置 了 所 有 的 权限 之 后 ,访问 决策 部 分 对 访问 请 求 者 提出 的 具体 的 
访问 请 求 按照 矩阵 中 的 设置 做 出 具体 的 允许 或 拒绝 访问 的 决策 。 

考虑 在 一 个 LBS 中 的 如 下 场景 : 母亲 为 孩子 的 安全 ,让 孩子 随身 携带 一 个 定位 设备 (如 
手机 ) ,可 以 随时 了 解 孩子 所 处 的 位 置 。 这 是 最 常见 的 应 用 场景 ,因为 很 多 研究 表明 ,有 和 孩子 
的 家 长 更 加 倾向 于 使 用 定位 服务 。 同 时 ,出 于 保护 孩子 安全 的 考虑 ,母亲 并 不 希望 任何 其 他 
人 都 可 以 获得 孩子 的 位 置信 息 ,但 希望 孩子 的 老师 在 某 些 特定 的 情况 下 获知 孩子 的 位 置信 
息 。 因 此 ,需要 为 此 设置 访问 控制 策略 及 权限 ,以 决定 何人 能 在 何 时 、 何 种 情况 下 访问 孩子 
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的 位 置信 息 。 由 于 孩子 是 未 成 年 人 ,没有 能 力 制 定 最 合适 的 访问 策略 ,他 们 的 安全 由 家 长 来 

负责 ,因此 母亲 成 为 孩子 位 置信 息 的 隐私 相关 者 ,负责 制定 相关 的 访问 控制 策略 ,保护 孩子 

的 位 置 隐私 信息 。 而 且 允 许 母亲 在 任何 时 间 、 任 何 情况 下 都 可 以 查询 孩子 位 置信 息 。 
下 面 介绍 在 LBS 中 的 3 种 基本 的 隐私 保护 方法 。 


1. 假 位 置 


第 一 种 方法 是 通过 制造 假 位 置 达到 以 假 乱 真 的 效果 。 如 在 图 10. 8 中 ,用 户 寻 找 最 近 的 餐 
馆 。 白 色 方块 是 餐馆 位 置 ,用 户 的 真实 位 置 如 
寻找 最 近 的 餐馆 可 图 10.8 所 示 。 当 该 用 户 提出 查询 时 ,为 其 生成 
he 两 个 假 位 置 , 即 哑 元 。 真 假 位 置 一 同 发 送 给 服 
| 务 提供 商 。 从 攻击 者 的 角度 会 同时 看 到 3 个 位 

置 , 无 法 区 分 哪个 是 真实 的 ,哪个 是 虚假 的 。 


2. 时 空 匿名 


第 二 种 方法 是 时 空 匿名 ,即将 一 个 用 户 的 
位 置 通过 在 时 间 和 空间 轴 上 扩展 , 变 成 一 个 时 
空 区 域 ,达到 匿名 的 效果 。 以 空间 匿名 为 例 ， 
延续 图 10. 8 寻找 餐馆 的 例子 , 当 用 户 提出 查 
询 时 ,用 一 个 空间 区 域 表 示 用 户 位 置 , 如 图 10. 9 中 的 黑色 方 框 所 示 。 从 服务 提供 商 角度 只 
能 看 到 这 个 区 域 ,无 法 确定 用 户 是 在 整个 区 域内 的 哪个 具体 位 置 上 。 


3. 空间 加 密 


第 三 种 方法 是 空间 加 密 , 即 通 过 对 位 置 加 密 达 到 匿名 的 效果 。 继 续 前 面 的 例子 ,首先 将 
整个 空间 旋转 一 个 角度 (如 图 10. 10 所 示 ) ,在 旋转 后 的 空间 中 建立 希 尔 伯 特 (Hilbert) 曲 线 。 
每 一 个 被 查询 点 P( 即 图 10. 10 中 的 白色 方块 ) 对 应 的 希 尔 伯 特 值 如 该 点 所 在 的 方 格 数字 所 
示 。 当 某 用户 提 出 查询 Q 时 ,计算 出 加 密 空 间 中 Q 的 希 尔 伯 特 值 。 在 此 例子 中 ,该 值 等 于 
2。 寻 找 与 2 最 近 的 希 尔 伯 特 值 所 对 应 的 已 , 即 P1, 将 Pl 返回 给 用 户 。 由 于 服务 提供 商 缺 
少 密 钥 , 在 此 例子 中 即 旋转 的 角度 和 希 尔 伯 特 曲 线 的 参数 , 故 无 法 反 算出 每 一 个 希 尔 伯 特 值 
的 原 值 ,从 而 达到 了 加 密 的 效果 。 


图 108 假 位 置 


图 109 时 空 匿名 图 1010 空间 加 密 
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4. 感知 隐私 的 查询 处 理 


在 基于 位 置 的 服务 中 ,隐私 保护 的 最 终 目的 仍 是 为 了 查询 处 理 , 所 以 需要 设计 感知 隐私 
保护 的 查询 处 理 技术 。 

根据 采用 匿名 技术 的 不 同 , 查 询 处 理 方式 也 不 同 。 如 果 采 用 的 是 假 数据 , 则 可 采用 移动 
对 象 数据 库 中 的 传统 查询 处 理 技术 ,因为 发 送 给 位 置 数据 库 服务 器 的 是 精确 的 位 置 点 。 如 
果 采 用 时 空 匿名 ,由 于 查询 处 理 数据 变 成 了 一 个 区 域 ,所 以 需要 设计 新 的 查询 处 理 算法 ,这 
里 的 查询 处 理 结果 是 一 个 包含 真实 结果 的 超 集 。 如 果 采 用 空间 加 密 技 术 , 查 询 处 理 算法 与 
使 用 的 加 密 协 议 有 关 。 


5. 隐私 度 与 效率 对 比 


从 匿名 效率 和 隐私 度 两 方面 对 上 述 3 种 隐私 
保护 方法 进行 对 比 ( 如 图 10. 11 所 示 ), 可 以 看 出 ， 
加 密 是 安全 度 最 高 的 方法 ,但 是 加 密 解密 效率 较 
低 ; 生 成 假 数据 的 方法 最 简单 ,高效 ,但 隐私 保护 度 
较 低 ,可 根据 用 户 长 期 的 运动 轨迹 判断 出 哪些 是 假 
数据 ;从 已 有 的 工作 来 看 ,时 空 匿名 在 隐私 度 与 效 
率 之 间 取 得 了 较 好 的 平衡 ,也 是 普遍 使 用 的 匿名 方法 。 下 面 将 以 时 空 匿 名 方法 为 主 进行 
介绍 。 


6. 存在 的 挑战 


位 置 隐私 研究 中 所 面临 的 挑战 包括 以 下 4 个 方面 : 

(1) 隐私 保护 与 位 置 服务 是 一 对 矛盾 。 

(2) LBS 的 请 求 具有 在 线 处 理 的 特点 , 故 位 置 匿名 具有 实时 性 要 求 。 

(3) LBS 中 的 对 象 位 置 频繁 更 新 。 

(4) 不 同 用 户 的 隐私 要 求 大 相 径 庭 , 所 以 隐私 保护 需要 满足 个 性 化 的 需求 。 


隐私 度 


Q 


图 1011 隐私 度 与 效率 对 比 


10.5.3 ”隐私 保护 系统 结构 

隐私 保护 系统 基本 实体 包括 移动 用 户 和 位 置 服务 提供 商 , 它 具有 如 下 4 种 结构 : 独立 
结构 、 中 心服 务 器 结构 、 主 从 分 布 式 结构 和 移动 点 对 点 结构 。 

1. 独立 式 结构 


独立 结构 是 仅 有 客户 端 (或 者 移动 用 户 ) 与 位 置 服务 器 的 客户 端 /服务 器 (Client/ 
Server,C/S) 结 构 。 由 移动 用 户 自己 完成 匿名 处 理 和 查询 处 理 的 工作 。 该 结构 简单 , 易 配 
置 ,但 是 增加 了 客户 端 负 担 ,并且 缺 乏 全 局 信息 ,隐私 的 隐秘 性 弱 。 


2. 中 心服 务 器 结构 


与 独立 结构 相 比 ,中 心服 务 器 结构 在 移动 用 户 和 服务 提供 商 之 间 加 入 了 第 三 方 可 信 匿 
名 服务 器 ,由 它 完成 匿名 处 理 和 查询 处 理工 作 。 该 结构 具有 全 局 信息 ,所 以 隐私 保护 效果 较 


321 


物 联 网 安全 导论 


上 一 种 好 。 但 是 由 于 所 有 信息 都 汇聚 在 匿名 服务 器 , 故 可 能 成 为 系统 处 理 瓶 颈 , 且 容易 遭 到 
攻击 。 


3. 主 从 分 布 式 结构 


为 了 克服 中 心服 务 器 的 缺点 ,研究 人 员 提 出 了 主 从 分 布 式 结构 。 移 动用 户 通过 一 个 固 
定 的 通信 基础 设施 (如 基站 ) 进 行 通信 。 基 站 也 是 可 信 的 第 三 方 ,区 别 在 于 基站 只 负责 可 信 
用 户 的 认证 及 将 所 有 认证 用 户 的 位 置 索 引发 给 提出 匿名 需求 的 用 户 。 位 置 匿名 和 查询 处 理 
由 用 户 或 者 匿名 组 推举 的 头 节点 完成 。 该 结构 的 缺点 是 网 络 通信 代价 高 。 


4. 移动 点 对 点 结构 


移动 点 对 点 结构 与 分 布 式 结构 工作 流程 类 似 , 唯 一 不 同 的 是 它 没有 固定 的 负责 用 户 认 
证 的 通信 设施 ,而 是 利用 多 跳 路 由 寻找 满足 隐私 需求 的 匿名 用 户 , 所 以 它 拥 有 与 分 布 式 结构 
相同 的 优 缺点 。 


10.5.4 隐私 保护 研究 内 容 


下 面 介绍 一 些 经 典 的 位 置 隐私 和 查询 隐私 保护 方法 以 及 感知 隐私 的 查询 处 理 技术 。 


1. 隐私 保护 模型 


先 介绍 迄今 使 用 最 广泛 的 位 置 & 匿名 模型 ,后 面 介绍 的 隐私 保护 方法 均 满足 该 模型 。 

上 匿名 是 隐私 保护 中 普遍 采用 的 方法 。 位 置 k 匿名 的 基本 思想 是 让 一 个 用 户 的 位 置 与 
其 他 (4-1 名 ) 用 户 的 位 置 无 法 区 别 。 以 位 置 3 匿名 为 例 (如 图 10. 12 所 示 ) ,将 3 个 单 点 用 户 
用 同一 个 匿名 区 域 表示 ,攻击 者 只 知道 在 此 区 域 中 有 3 个 用 户 , 具 体 哪个 用 户 在 哪个 位 置 无 
法 确定 , 即 达 到 了 位 置 隐私 保护 目的 。 


2. 基于 四 分 树 的 隐私 保护 方法 


最 早 的 匿名 算法 是 基于 四 分 树 的 隐私 保护 方法 。 它 解决 了 面 对 大 量 移 动用 户 高 效 寻 
找 满足 位 置 人 匿名 模型 的 匿名 集 的 问题 。 其 解决 方法 是 : 自 顶 向 下 地 划分 整个 空间 ,如 
果 提 出 查询 的 用 户 所 在 的 区 域 的 用 户 数 大 于 A, 将 整个 空间 等 分 为 4 份 ,重复 这 一 步 , 直 至 
用 户 所 在 的 区 域 所 包含 的 用 户 数 小 于 A, 返 回 四 分 树 的 上 一 层 区 域 ,将 其 作为 匿名 区 域 返 
回 ( 如 图 10. 13 所 示 )。 该 方法 的 缺点 是 要 求 用 户 采用 统一 隐私 度 以 及 返回 匿名 区 域 
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图 1012 位 置 3 匿名 图 1013 基于 四 分 树 的 匿名 方法 
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3. 个 性 化 隐私 需求 匿名 方法 


在 隐私 保护 中 ,不 同 的 用 户 有 不 同 的 位 置 A 匿 名 需求 ,因此 需要 解决 满足 用 户 个 性 化 隐 
私 需求 的 位 置 人 匿名 方法 。 其 解决 方法 是 利用 图 模型 形式 化 定义 此 问题 ,并 把 寻找 匿名 集 
的 问题 转化 为 在 图 中 寻找 点 团 的 问题 。 

在 图 10. 14 中 ,点 是 用 户 提 出 查询 时 的 位 置 ,k 表示 
用 户 的 最 小 隐私 需求 ,圆圈 代表 用 户 可 接受 的 最 差 服 务 
质量 。 当 新 的 对 象 m 到 达 时 ,根据 用 户 的 隐私 和 质量 要 
求 ,更 新 已 有 图 ,并 找 出 m 所 在 的 团 ,将 覆盖 该 团 所 有 点 
的 最 小 边界 矩形 作为 匿名 区 域 返回 。 


4. 连续 查询 隐私 保护 


前 面 的 隐私 保护 工作 都 是 针对 Snapshot 查询 类 
型 。 如 果 将 现 有 的 匿名 算法 直接 应 用 于 连续 查询 ,隐私 
保护 将 产生 查询 隐私 泄露 。 如 图 10. 15 所 示 ,系统 中 存在 6 个 用 户 {1A,B,C,D,E,F}。 攻 击 
者 知道 存在 连续 查询 ,但 并 不 知道 连续 查询 是 什么 ,以 及 是 由 谁 提出 的 。 在 3 个 不 同时 刻 
tivtih1 和 its, 用 户 A 形成 了 3 个 不 同 的 匿名 集 , 即 {A, B, D}、{A, B, F} 和 {A, C,E}。 将 
3 个 匿名 集 取 交 , 即 可 获知 是 用 户 A 提出 的 查询 Qi 。 


图 1014 个 性 化 隐私 需求 匿名 方法 


; 
iil 2 | “PB 
5 dA O RS B 1 | 
B: 0. NF: 0 D = ——-----— 当 


(a) 1 时 刻 (b) tr 时 刻 (c) ti 时刻 
图 1015 连续 查询 隐私 保护 技术 


此 问题 主要 是 由 同一 用 户 (A) 在 其 有 效 生命 期 内 形成 的 匿名 集 不 同 而 造成 的 。 所 以 解 
决 方法 是 让 连续 查询 的 用 户 在 最 初时 刻 形 成 的 匿名 集 在 其 查询 有 效 期 内 均 有 效 。 在 本 例 
中 , 即 用 户 A 在 t; 时 刻 形成 的 匿名 集 是 {A,B,D}, 则 在 tii 和 iis 时 刻 ,匿名 集 依 然 是 {A,B， 
DD) ,如 图 10.15(b) 和 (c) 中 的 虚线 矩形 所 示 。 


5. 感知 查询 差异 性 的 隐私 保护 


位 置 匿 名 模型 只 能 防止 用 户 与 查询 建立 关联 ,但 不 能 切断 用 户 与 查询 内 容 之 间 的 关 
联 。 图 10. 16 显示 的 是 在 位 置 匿名 后 发 布 的 匿名 位 置 和 查询 ,符合 位 置 3 匿名 。 但 是 ,攻击 
者 可 以 确定 ,位 置 落 于 第 一 个 匿名 集中 的 用 户 一 定 患 了 某 种 疾病 。 

解决 此 问题 的 基本 方法 是 在 寻找 匿名 集 的 时 候 考虑 查询 语义 ,保证 在 一 个 匿名 集中 敏 
感 查 询 所 占 比例 不 超过 p%。 如 图 10. 17 所 示 ,即使 攻击 者 拥有 用 户 的 真实 位 置 ,获知 该 用 
户 落 于 哪个 匿名 集中 ,但 仍然 无 法 获知 该 用 户 提出 了 何 种 查询 。 
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[0,2)(5, 9)] 
[0 2)-(G3, 9)] 
[0, 2)(5, 9)] 
[Q, 5)(4, 7)] 
[Q, 5)-(4, 7)] 
[Q, 5)(4, 7)] 
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图 1016 查询 隐私 泄露 
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图 1017 感知 查询 差异 性 的 隐私 保护 技术 


6. 感知 隐私 保护 的 查询 处 理 


如 何 基 于 匿名 后 的 位 置 (一 个 区 域 ) 为 用 户 求 得 查询 结果 是 隐私 保护 中 必须 考虑 的 另 一 
个 重要 问题 。 

在 基于 区 域 位 置 数据 的 查询 处 理 技术 中 ,位 置 数据 可 以 分 为 两 种 : 公开 位 置 数据 和 隐 
私 位 置 数据 。 公 开 数 据 是 指 如 加 油 站 、 旅 馆 和 警车 等 公共 信息 ,其 位 置 是 一 个 精确 点 ;隐私 
数据 属于 个 人 数据 ,其 位 置 是 一 个 模糊 的 范围 。 根 据 查询 点 和 被 查询 点 是 否 是 隐私 数据 ,可 
以 将 查询 分 为 四 种 (如 图 10. 18 所 示 ): 基于 公开 数据 的 公开 查询 、 基 于 隐私 数据 的 公开 查 
询 、 基 于 公开 数据 的 隐私 查询 和 基于 隐私 数据 的 隐私 查询 。 


据 | 如 距离 我 最 近 的 加 油 站 | 如 离 我 最 近 的 朋友 
~@ |_ ma | 


图 1018 感知 隐私 的 查询 类 型 
基于 公开 数据 的 公开 查询 可 以 用 传统 方法 处 理 , 基 于 隐私 数据 的 公开 查询 和 基于 公开 


数据 的 隐私 查询 是 基于 隐私 数据 的 隐私 查询 的 特例 。 所 以 这 两 种 查询 处 理 方法 经 过 扩展 可 
以 适应 第 四 种 情况 。 


基于 公开 数据 的 隐私 查询 。| 基于 隐私 数据 的 隐私 查询 。 
a 
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7. 基于 隐私 数据 的 公开 查询 


首先 以 范围 查询 为 例 说 明基 于 隐私 数据 的 公开 查询 。 如 查询 “ 某 加 油 站 500m 内 所 有 
的 出 租车 ”, 出 租车 是 空间 匿名 后 得 到 的 区 域 位 置信 息 , 圆 是 加 油 站 附近 500m 的 范围 ,如 
图 10. 19 所 示 。 最 简单 的 方法 是 将 所 有 与 查询 范围 相交 的 匿名 框 作为 候选 结果 集 ,匿名 框 
与 查询 范围 重 全 区域 面 积 表 示 查 询 结 果 是 真正 结果 的 概率 ,在 图 10. 19 中 查询 结果 即 {(B， 
50%),(C, 90%),(D, 100%),(E, 60%)}。 


8. 基于 公开 数据 的 隐私 查询 


例如 ,查询 距离 用 户 现在 所 在 位 置 最 近 的 加 油 站 。 加 油 站 如 图 10. 20 中 的 Pi 一 ps 点 ， 
用 户 的 位 置 是 一 个 匿名 区 域 。 为 使 候选 结果 集中 包含 真实 结果 ,需要 计算 该 匿名 区 域内 每 
一 个 点 的 最 近邻 。 这 个 结果 集 包含 两 部 分 : 所 有 被 匿名 区 域 获 盖 的 点 和 匿名 框 边 上 的 每 一 
个 点 所 对 应 的 最 近邻 ,后 者 可 以 通过 寻找 被 查询 点 间 的 垂直 平分 线 与 该 边 的 交点 获得 。 


B O 


图 1019 基于 隐私 数据 的 公开 查询 图 1020 基于 公开 数据 的 隐私 查询 


10.5.5 隐私 保护 技术 面临 的 挑战 

除了 上 述 问题 外 ,在 LBS 中 隐私 保护 问题 仍 面 临 着 很 多 挑战 ,如 多 技术 混合 的 隐私 保 
护 技术 、 轨 迹 的 隐私 保护 技术 和 室内 位 置 隐私 保护 技术 等 。 

1. 多 技术 混合 的 隐私 保护 


如 前 所 述 ,加密 方法 安全 但 不 高 效 , 时 空 匿名 高 效 但 相对 于 加 密 方法 而 言 不 够 安全 。 虽 
然 目前 大 部 分 研究 工作 均 集 中 在 时 空 匿 名 方法 上 ,但 是 我 们 试图 在 加 密 与 时 空 匿 名 之 间 做 
些 工作 ,研究 结合 加 密 算法 的 高 隐秘 性 和 空间 匿名 算法 高 效 性 的 混合 匿名 模型 与 算法 ,同时 
保证 利用 此 种 匿名 方法 所 获得 数据 的 可 用 性 ,并 研究 基于 混合 匿名 技术 的 查询 处 理 算法 。 


2. 移动 轨迹 的 隐私 保护 


由 于 攻击 者 可 能 积累 用 户 的 历史 信息 分 析 用 户 的 隐私 ,因此 还 要 考虑 对 用 户 的 连续 位 
置 保护 的 问题 ,或 者 说 对 用 户 的 轨迹 提供 保护 。 现 有 大 部 分 的 轨迹 匿名 技术 多 采用 发 布 假 
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数据 或 丢掉 一 些 取样 点 的 方法 。 按 照 前 面 的 分 析 , 这 样 的 方法 不 够 安全 ,可 能 通过 挖掘 历史 
信息 辨别 真 伪 。 因 此 需要 研究 基于 时 空 匿名 的 轨迹 匿名 模型 和 算法 ,在 保证 挖掘 结果 正确 
性 的 前 提 下 保证 用 户 轨迹 信息 不 泄漏 。 

另外 , 现 有 的 轨迹 匿名 多 是 离线 (offline) 处 理 方式 。 在 基于 位 置 的 服务 中 存在 汽车 导 
航 的 应 用 ,用 户 需 查询 从 A 地 到 也 地 的 行车 路 线 。 研 究 在 线 轨迹 匿名 模型 和 算法 是 另 一 个 
值得 关注 的 问题 。 


3. 室内 位 置 隐私 


研究 工作 大 都 专注 于 室外 位 置 隐私 保护 ,其 实在 室内 也 存在 隐私 泄露 的 问题 。 在 室内 
安装 无 限 传 感 器 收集 用 户 位 置 ,可 用 于 安全 控制 和 资源 管理 ,如 当 室 内 人 数 小 于 某 个 值 时 关 
掉 空 调 设备 。 但 是 收集 室内 人 员 位 置信 息 的 同时 可 能 会 泄露 个 人 隐私 。 

如 在 公司 中 ,管理 者 可 以 监控 雇员 行为 ,并 推测 健康 状况 等 。 为 了 保护 室内 人 员 的 个 人 
隐私 ,需要 针对 室内 环境 特点 ,研究 基于 室内 位 置 隐私 的 攻击 模型 .匿名 模型 .匿名 算法 和 查 
询 处 理 算法 。 

要 解决 以 上 问题 ,可 以 将 现 有 技术 ,如 数据 发 布 中 的 隐私 保护 技术 、 移 动 数据 的 查询 处 
理 技术 和 不 确定 数据 的 建 模 查询 处 理 技术 相 结合 ,这 也 许 会 给 我 们 带 来 一 些 意 想 不 到 的 
人 惊喜。 


习题 十 


. 简 述 LBS 的 定义 。 

.LBS 的 应 用 类 型 有 哪些 ? 

. LBS 系统 由 哪些 部 分 组 成 ? 

. 简要 说 明 LBS 系统 工作 的 主要 流程 。 

. 地 理 信息 系统 的 任务 是 什么 ?其 主要 特点 是 什么 ? 

. 移动 GIS 移动 端 与 服务 端 通信 通常 有 哪 两 种 模式 ? 

. 目前 全 球 范围 内 普遍 使 用 的 移动 定位 技术 主要 有 哪 4 种 ? 
. 简 述 隐私 的 定义 。 

.网 络 个 人 (数据 ) 信 息 隐 私 权 的 内 容 具体 包括 哪 几 方面 ? 
0. 目前 侵犯 网 络 隐私 权 的 主要 现象 有 哪些 ? 

. 简要 说 明 侵 犯 网 络 隐私 权 的 主要 技术 手段 。 

12. 简 述 物 联 网 隐私 保护 技术 。 

13. 说 明 位 置 服务 与 隐私 保护 的 关系 。 

14. 简 述 LBS 中 的 3 种 基本 的 隐私 保护 方法 。 


ci oo 站 上 虽 思 本 虽 王 
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安全 体系 规划 设计 


物 联网 信息 安全 标准 
安全 体系 结构 规划 与 设计 


第 11 音 物 联 网 信息 安全 标准 


网 络 与 信息 安全 标准 化 工作 是 国家 信息 安全 保障 体系 建设 的 重要 组 成 。 网 络 与 信息 安 
全 标准 研究 与 制订 为 国家 主管 部 门 管理 信息 安全 设备 提供 了 有 效 的 技术 依据 ,这 对 于 保证 
安全 设备 的 正常 运行 ,并 在 此 基础 上 保证 我 国 国民 经 济 和 社会 管理 等 领域 中 网 络 信息 系统 
的 运行 安全 和 信息 安全 具有 非常 重要 的 意义 。 


11.1 国际 信息 技术 标准 化 组 织 


11.1.1 国际 信息 安全 标准 化 组 织 


国际 信息 安全 标准 化 工作 兴起 于 20 世纪 70 年 代 中 期 ,80 年 代 有 了 较 快 的 发 展 ,90 年 
代 引 起 了 世界 各 国 的 普遍 关注 。 目 前 世界 上 有 近 300 个 国际 和 区 域 性 组 织 制订 了 标准 或 技 
术 规 则 。 与 信息 安全 标准 化 有 关 的 组 织 主 要 有 以 下 4 个 : 

(1) 国际 标准 化 组 织 (ISO) 于 1947 年 2 月 23 日 正式 开始 工作 ,信息 技术 标准 化 委员 会 
(ISO/IEC JTC1) 所 属 的 安全 技术 分 委员 会 (SC27) 的 前 身 是 数据 加 密 分 技术 委员 会 
(SC20) ,主要 从 事 信息 技术 安全 的 一 般 方法 和 技术 的 标准 化 工作 。 而 ISO/TC68 负责 与 银 
行业 务 应 用 范围 有 关 的 信息 安全 标准 的 制订 , 它 主 要 制订 行业 应 用 标准 ,在 组 织 和 标准 上 与 
SC27 有 着 密切 的 联系 。ISOVIEC JTC1 负责 制订 的 标准 主要 是 开放 系统 互 连 、 密 钥 管 理 , 数 
字 签 名 和 安全 评估 等 方面 的 内 容 。 

(2) 国际 电工 委员 会 (IEC) 正 式 成 立 于 1906 年 10 月 ,是 世界 上 成 立 最 早 的 专门 的 国际 标 
准 化 机 构 。 在 信息 安全 标准 化 方面 ,除了 与 ISO 联合 成 立 了 JTC1 所 属 的 分 委员 会 外 , 它 还 在 
电信 ,电子 系统 、 信 息 技 术 和 电磁 兼容 等 方面 成 立 了 技术 委员 会 ,如 TC56 可 靠 性 .TC74 IT 设 
备 安全 和 功效 .TC77 电磁 兼容 .TC108 音频 /视频 \ 信 息 技术 和 通信 技术 电子 设备 的 安全 等 ,并 
为 信息 技术 设备 安全 (IEC 60950) 等 制订 相关 的 国际 标准 。 

(3) 国际 电信 联盟 (ITU) 的 前 身 可 以 追溯 到 成 立 于 1865 年 5 月 17 日 成 立 的 国际 电报 
联盟 ,于 1934 年 改 为 现 称 , 所 属 的 SG17 组 主要 负责 研究 通信 系统 安全 标准 。SG17 组 主要 
研究 的 内 容 包括 通信 安全 项 目 、 安 全 架构 和 框架 .计算 安全 安全 管理 .用 于 安全 的 生物 测定 
和 安全 通信 服务 。 此 外 SG16 和 下 一 代 网 络 核心 组 也 在 通信 安全 、.H323 网 络 安 全 和 下 一 代 
网 络 安全 等 标准 方面 进行 了 研究 。 目 前 大 约 有 40 多 个 ITU-T 建议 书 都 是 与 通信 安全 有 关 
的 标准 。 

(4) Internet 工程 任务 组 (IETF) 创 立 于 1986 年 .其 主要 任务 是 负责 互联 网 相关 技术 规 
范 的 研发 和 制订 。 目 前 ,IETF 已 成 为 全 球 互联 网 最 具 权威 的 大 型 技术 研究 组 织 。IETF 制 
订 标 准 的 具体 工作 由 各 个 工作 组 承担 ,工作 组 分 成 8 个 领域 ,涉及 Internet 路 由 、 传 输 和 应 
用 领域 等 ,包含 在 RFC 系列 之 中 的 IKE 和 IPSec, 还 有 电子 邮件 、 网 络 认 证 和 密码 标准 ,此 
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外 还 包括 TLS 标准 和 其 他 的 安全 协议 标准 。 
11.1.2 国际 信息 安全 管理 体系 


国际 上 比较 有 影响 的 信息 安全 标准 体系 主要 有 以 下 3 个 。 


1. ISO/IEC 的 国际 标准 13335、17799、27001 系列 


ISO/VIEC JTC1 SC27/WG1( 国 际 标准 化 组 织 / 国 际 电工 委员 会 信息 技术 委员 会 安全 技 
术 分 委员 会 /第 一 工作 组 ) 是 制订 和 修订 ISMS 标准 的 国际 组 织 。 

ISO 和 IEC 是 世界 范围 的 标准 化 组 织 , 它 由 各 个 国家 和 地 区 的 成 员 组 成 ,各 国 的 相关 标 
准 化 组 织 都 是 其 成 员 , 他 们 通过 各 技术 委员 会 参与 相关 标准 的 制定 。 为 了 更 好 地 协作 和 共 
同 规范 信息 技术 领域 ,ISO 和 IEC 成 立 了 联合 技术 委员 会 , 即 ISO/TEC JTC1 ,负责 信息 技术 
领域 的 标准 化 工作 。 其 中 的 分 委员 会 SC27 专门 负责 IT 安全 技术 领域 的 标准 化 工作 。 

ISOVIEC JTC1 SC27 是 信息 安全 领域 最 权威 和 国际 认可 的 标准 化 组 织 , 它 已 经 为 信息 
安全 保障 领域 发 布 了 一 系列 国际 标准 和 技术 报告 ,为 信息 安全 领域 的 标准 化 工作 做 出 了 巨 
大 贡献 。 

在 ISO/IEC JTC1 SC 27 所 发 布 的 标准 和 技术 报告 中 ,目前 最 主要 的 标准 是 ISO/ 
IEC 13335 和 ISO/IEC 17799 等 。 

另外 ,ISO/IEC JTC1 SC27 正在 对 信息 安全 管理 系统 (ISMS) 国 际 标准 族 进行 开发 ,此 
标准 族 将 采用 27000 系列 号 码 作为 编号 方案 ,并 将 综合 信息 安全 管理 系统 要 求 、 风 险 管理 、 
度量 和 测量 以 及 实施 指南 等 一 系列 国际 标准 。 

随 着 ISO/IEC 27000 系列 标准 的 规划 和 发 布 ,ISO/IEC 已 形成 了 以 ISMS 为 核心 的 一 
整套 信息 安全 管理 体系 。 

2005 年 ,ISO/IEC 在 信息 安全 管理 标准 方面 的 主要 发 展 趋势 是 : 改版 ISO/IEC 17799， 
并 正式 发 布 ISO/IEC 17799:2005。ISOVIEC 17799 建立 了 组 织 机 构 内 启动 .实施 .维护 和 改 
进 信息 安全 管理 的 指导 方针 和 通用 原则 。 

此 外 ,ISOVIEC 13335 将 从 原先 的 技术 报告 变 为 正式 的 国际 标准 。ISOVIEC 13335 是 
ISO/IEC JTC1 SC27 中 关于 风险 管理 和 IT 安全 管理 的 一 个 重要 的 标准 系列 。ISO/ 
IEC 13335 另 一 个 重要 的 变动 是 从 原先 包含 5 部 分 的 技术 报告 变更 为 现在 重新 立项 的 包含 
两 部 分 的 国际 标准 , 即 信息 和 通信 技术 安全 管理 标准 。 

ISO/IEC27001:2005(《 信 息 安全 管理 体系 要 求 )) 是 ISMS 认证 所 采用 的 标准 。 目 前 我 
国 已 经 将 其 等 同 转化 为 中 国 国家 标准 GB/T 22080-2008/ISO/IEC 27001 :2005。 

ISO/IEC 27000 族 是 国际 标准 化 组 织 专门 为 ISMS 预 留 下 来 的 一 系列 相关 标准 的 总 称 ， 
其 包含 的 成 员 标 准 有 : 

(1) ISO/IEC 27000 ”ISMS 概述 和 术语 IS 

(2) ISO/IEC 27001 信息 安全 管理 体系 要 求 IS 

(3) ISO/VIEC 27002 信息 安全 管理 体系 实用 规则 IS 

(4) ISOVIEC 27003 ”信息 安全 管理 体系 实施 指南 FDIS 

(5) ISO/IEC 27004 信息 安全 管理 度量 FDIS 

(6) ISO/IEC 27005 信息 安全 风险 管理 IS 
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(7) ISO/IEC 27006 ”ISMS 认证 机 构 的 认可 要 求 IS 

(8) ISO/IEC 27007 信息 安全 管理 体系 审核 指南 CD 

(9) ISO/IEC 27008 ”ISMS 控制 措施 审核 员 指 南 WD 

(10) ISOVIEC 27010 ”部门 间 通信 的 信息 安全 管理 NP 

(11) ISO/IEC 27011 电信 业 信 息 安全 管理 指南 IS 

目前 ,ISO 正在 不 断 地 扩充 和 完善 ISMS 系列 标准 ,使 之 成 为 由 多 个 成 员 标准 组 成 的 标 
准 族 。 


2. 英国 标准 协会 的 7799 系列 


信息 安全 管理 体系 (Information Security Management System,ISMS) 的 概念 最 初 来 源 
于 英国 标准 协会 (BSD) 制 定 的 BS 7799 标准 , 并 伴随 着 其 作为 国际 标准 的 发 布 和 普及 而 被 广 
泛 地 接受 。 

同 美国 NIST 相对 应 ,BSI 是 英国 负责 信息 安全 管理 标准 的 机 构 。 在 信息 安全 管理 和 相 
关 领 域 ,BSI 做 了 大 量 的 工作 ,其 成 果 已 得 到 国际 社会 的 广泛 认可 。 最 让 人 关注 的 是 
BS 7799 的 第 一 部 分 , 它 已 成 为 ISOVIEC 17799 国际 标准 。 另 外 ,其 BS 15000 系列 标准 也 成 
为 指导 ITIL 的 公认 标准 。 

现在 , 随 着 BS 7799 被 广泛 接受 ,BSI 准备 进一步 将 它 推 向 全 世界 ,为 各 个 国家 的 组 织 机 
构 提 供 BS 7799 的 认证 服务 。 

BS 7799 是 BSI 针对 信息 安全 管理 而 制定 的 标准 ,分 为 以 下 两 个 部 分 : 

第 一 部 分 : 信息 安全 管理 实践 规范 (Code of Practice for Information Security Management)， 
主要 供 负责 信息 安全 系统 开发 的 人 员 作 为 参考 使 用 。 

第 二 部 分 : 建立 信息 安全 管理 体系 的 规范 (Specification for Information Security 
Management Systems) ,可 用 来 指导 相关 人 员 应 用 第 一 部 分 ,最 终 目的 是 建立 适合 企业 需要 
的 信息 安全 管理 体系 。 

BS 7799 受到 国际 的 广泛 认可 , 它 的 第 一 部 分 和 第 二 部 分 已 分 别 成 为 国际 标准 ISO/ 
IEC 17799:2005 和 ISOVIEC 27001 :2005。 


3. 美国 国家 标准 和 技术 委员 会 的 特别 出 版 物 系列 


2002 年 ,美国 通过 了 一 部 联邦 信息 安全 管理 法 案 (FISMA)。 根 据 它 , 美 国 国家 标准 和 
技术 委员 会 (NIST) 负 责 为 美国 政府 和 商业 机 构 提供 信息 安全 管理 相关 的 标准 规范 。 因 此 ， 
NIST 的 一 系列 FIPS 标准 和 NIST 特别 出 版 物 800 系列 (NIST SP 800 系列 ) 成 为 指导 美国 
信息 安全 管理 建设 的 主要 标准 和 参考 资料 。 

在 NIST 的 标准 系列 文件 中 ,虽然 NIST SP 并 不 作为 正式 法 定 标准 ,但 在 实际 工作 中 ， 
已 经 成 为 美国 和 国际 安全 界 得 到 广泛 认可 的 事实 标准 和 权威 指南 。 

目前 ,NIST SP 800 系列 已 经 出 版 了 近 90 本 与 信息 安全 相关 的 正式 文件 ,形成 了 计划 、 
风险 管理 .安全 意识 培训 和 教育 以 及 安全 控制 措施 的 一 整套 信息 安全 管理 体系 。2005 年 ， 
NIST SP 800 系列 最 主要 的 发 展 是 配合 FISMA 2002 年 的 法 案 ,建立 以 800-53 等 标准 为 核 
心 的 一 系列 认证 和 认可 的 标准 指南 。 
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11.2 中 国信 息 安全 标准 


11.2.1 中 国信 息 安 全 标准 化 的 现状 


信息 安全 标准 是 我 国信 息 安全 保障 体系 的 重要 组 成 部 分 ,是 政府 进行 宏观 管理 的 重要 
依据 。 虽 然 国际 上 很 多 标准 化 组 织 在 信息 安全 方面 制定 了 许多 标准 ,但 是 信息 安全 标准 事 
关 国 家 安全 利益 ,任何 国家 都 不 会 轻易 相信 和 过 分 依赖 别人 ,总 要 通过 自己 国家 的 组 织 和 专 
家 制订 出 自己 可 以 信任 的 标准 来 保护 民族 的 利益 。 因 此 ,各 个 国家 在 充分 借鉴 国际 标准 的 
前 提 下 ,制订 和 扩展 自己 国家 对 信息 安全 的 管理 领域 。 这 样 就 使 许多 国家 建立 了 自己 的 信 
息 安 全 标准 化 组 织 和 制订 本 国 的 信息 安全 标准 。 

目前 ,我 国 按照 国务 院 授权 ,在 国家 质量 监督 检验 检疫 总 局 管理 下 ,由 国家 标准 化 管理 
委员 会 统一 管理 全 国标 准 化 工作 ,下 设 有 255 个 专业 技术 委员 会 。 中 国标 准 化 工作 实行 统 
一 管理 与 分 工 负责 相 结 合 的 管理 体制 ,由 88 个 国务 院 有 关 行 政 主管 部 门 和 国务 院 授权 的 有 
关 行 业 协 会 分 工 管理 本 部 门 , 本 行业 的 标准 化 工作 ,由 31 个 省 .自治 区 直辖 市 政府 有 关 行 
政 主 管 部 门 分 工 管理 本 行政 区 域内 、 本 部 门 、 本 行业 的 标准 化 工作 。 

成 立 于 1984 年 的 全 国信 息 技术 安全 标准 化 技术 委员 会 (CITS), 在 国家 标准 化 管理 委 
员 会 和 信息 产业 部 的 共同 领导 下 负责 全 国信 息 技 术 领 域 以 及 与 ISOVIEC JTC1 相对 应 的 标 
准 化 工作 ,目前 下 设 24 个 分 技术 委员 会 和 特别 工作 组 ,是 目前 国内 最 大 的 标准 化 技术 委员 
会 。 它 是 一 个 具有 广泛 代表 性 .权威 性 和 军民 结合 的 信息 安全 标准 化 组 织 。 

全 国信 息 技术 安全 标准 化 技术 委员 会 的 工作 范围 是 负责 信息 和 通信 安全 的 通用 框架 、 
方法 ,技术 和 机 制 的 标准 化 ,归口 国内 外 对 应 的 标准 化 工作 。 其 技术 安全 包括 开放 式 安全 体 
系 结构 .各 种 安全 信息 交换 的 语义 规则 、 有 关 的 应 用 程序 接口 和 协议 引用 安全 功能 接口 等 。 

我 国信 息 安 全 标准 化 工作 虽然 起 步 较 晚 ,但 是 近年 来 发 展 较 快 ,入 世 后 标准 化 工作 在 公 
开 性 和 透明 度 等 方面 更 加 取得 实质 性 进展 。 我 国 从 20 世纪 80 年 代 开 始 ,本 着 积极 采用 国 
际 标准 的 原则 ,转化 了 一 批 国际 信息 安全 基础 技术 标准 ,制订 了 一 批 符合 中 国 国情 的 信息 安 
全 标准 ,同时 一 些 重点 行业 还 颁布 了 一 批 信息 安全 的 行业 标准 ,为 我 国信 息 安 全 技术 的 发 展 
做 出 了 很 大 贡献 。 据 统计 ,我 国 从 1985 年 发 布 了 第 一 个 有 关 信 息 安 全 方面 的 标准 以 来 ,到 
2004 年 底 , 共 制定 ,报批 和 发 布 有 关 信息 安全 技术 ,产品 ,测评 和 管理 的 国家 标准 76 个 ,正在 
制订 中 的 标准 51 个 ,为 信息 安全 的 开展 商定 了 基础 。 


11.2.2 中 国安 全 标准 组 织 机 构 


我 国 的 安全 标准 组 织 主要 有 信息 技术 安全 标准 化 技术 委员 会 (CITS) 和 中 国 通信 标准 
化 协会 (CCSA) 下 辖 的 网 络 与 信息 安全 技术 工作 委员 会 。 

(1) 信息 技术 安全 标准 化 技术 委员 会 (CITS) 。 成 立 于 1984 年 ,负责 全 国信 息 技 术 领 域 
以 及 与 ISO/IEC JTC1 相对 应 的 标准 化 工作 。 

(2) 中 国 通信 标准 化 协会 (CCSA)。 成 立 于 2002 年 12 月 18 日 ,是 国内 企 事业 单位 自 
愿 联合 组 织 起 来 的 .经 业务 主管 部 门 批准 的 开展 通信 技术 领域 标准 化 活动 的 组 织 。CCSA 
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下 设 了 有 线 网 络 信息 安全 无 线 网 络 信息 安全 、 安 全 管理 和 安全 基础 设施 4 个 工作 组 ,负责 
研究 的 领域 包括 : 有 线 网 络 中 电话 网 、 互 联网 、 传 输 网 和 接 入 网 等 在 内 所 有 电信 网 络 相 关 的 
安全 标准 ;无 线 网 络 中 接 入 ,核心 网 和 业务 等 相关 的 安全 标准 以 及 安全 管理 工作 组 ;安全 基 
础 设施 工作 组 中 网 管 安全 以 及 安全 基础 设施 相关 的 标准 。 


11.2.3 中 国信 息 安 全 标准 体系 研究 特点 


我 国 网 络 与 信息 安全 的 主要 标准 化 组 织 相 对 而 言 比 较 年 轻 ,研究 工作 才刚 刚 起 步 , 在 包 
括 安全 基础 设施 在 内 的 很 多 方面 还 有 待 进一步 开展 研究 。 从 总 体 情 况 来 看 ,我 国 网 络 与 信 
息 安 全 研究 将 呈现 下 列 特点 : 

(1) 基于 信息 内 容 的 过 滤 和 管制 技术 将 越 来 越 受 关 注 。 

(2) 防范 和 治理 垃圾 信息 将 成 为 网 络 安全 研究 的 重要 内 容 。 

(3) 网 络 与 信息 安全 研究 重点 将 逐渐 从 设备 层面 向 网 络 层面 转移 。 

(4) 业务 安全 越 来 越 成 为 运营 商 研究 的 重点 。 

(5) 认证 技术 将 得 到 研究 和 梳理 ,生物 鉴别 将 成 为 重要 内 容 。 

(6) 网 络 建设 将 重视 信任 体系 的 建设 。 

(7) 互联 网 安全 将 进一步 得 到 研究 ,其 成 果 将 适用 于 下 一 代 网 络 以 及 3G 核心 网 。 

(8) 网 络 上 信息 安全 将 划分 责 权 , 网 络 负 责 部 分 私密 性 (隔离 ) 和 完整 性 ,而 机 密 性 和 不 
可 和 否认 性 由 端 到 端 保障 。 

(9) 安全 管理 中 的 安全 风险 评估 将 成 为 安全 研究 的 重要 内 容 。 


11.2.4 中 国 在 信息 安全 管理 标准 方面 采取 的 措施 


中 国政 府 主管 部 门 以 及 各 行 各 业已 经 认识 到 信息 安全 的 重要 性 。 政 府 部 门 开 始 出 台 一 
系列 相关 策略 ,直接 牵引 ,推进 信息 安全 的 应 用 和 发 展 。 由 政府 主导 的 各 大 信息 系统 工程 和 
信息 化 程度 要 求 非常 高 的 相关 行业 也 开始 出 台 针 对 信息 安全 技术 产品 的 应 用 标准 和 规范 。 
国务 院 信 息 化 工作 小 组 最 近 颁 布 的 (关于 我 国电 子 政务 建设 指导 意见 ) 也 强调 指出 了 电子 政 
务 建 设 中 信息 系统 安全 的 重要 性 。 中 国人 民 银 行 正在 加 紧 制 订 网 上 银行 系统 安全 性 评估 指 
引 , 并 明确 提出 对 信息 安全 的 投资 要 达到 IT 总 投资 的 10% 以 上 ,而 在 其 他 一 些 关键 行业 ， 
信息 安全 的 投资 甚至 已 经 超过 了 IT 总 预算 的 30%~50%。 

2002 年 4 月 ,我 国 成 立 了 全 国信 息 安 全 标准 化 技术 委员 会 (TC260) , 它 是 在 信息 安全 的 
专业 领域 内 从 事 信 息 安 全 标准 化 工作 的 技术 工作 组 织 。TC260 设置 了 10 个 工作 组 ,其 中 信 
息 安全 管理 ( 含 工 程 与 开发 ) 工 作 组 (WG7) 负 责 对 信息 安全 的 行政 ,技术 和 人 员 等 管理 提出 
规范 要 求 及 指导 指南 , 它 包括 信息 安全 管理 指南 、 信 息 安全 管理 实施 规范 、 人 员 培 训 教 育 及 
录用 要 求 . 信 息 安 全 社会 化 服务 管理 规范 信息 安 全 保险 业务 规范 框架 和 安全 策略 要 求 与 指 
南 。 目 前 ,WG7 工作 组 正在 着 手 制定 推荐 性 国家 标准 (信息 技术 信息 安全 管理 实用 规则 》， 
该 标准 的 采用 程度 为 等 同 采 用 标准 ,也 就 是 说 该 标准 与 I SO/IEC 17799 相同 ,除了 纠正 排版 
或 印刷 错误 ,改变 标点 符号 、 增 加 不 改变 技术 内 容 的 说 明和 指示 之 外 ,不 改变 标准 技术 的 
内 容 。 

BS7799 提供 了 一 套 综合 的 .由 信息 安全 最 佳 措施 组 成 的 实施 规则 和 管理 要 求 , 它 广泛 
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地 涵盖 了 几乎 所 有 的 安全 议题 ,非常 适合 于 作为 工商 业 及 大 、 中 、 小 组 织 的 信息 系统 在 大 多 
数 情况 下 所 需 的 控制 范围 确定 的 参考 基准 。 虽 然 我 国信 息 安 全 标准 委员 会 不 是 将 ISO/IEC 
17799( 即 BS7799 的 第 一 部 分 ) 作 为 强制 性 国家 标准 引入 ,而 是 仅 作为 推荐 性 国家 标准 推行 ， 
但 是 企业 和 组 织 仍然 可 以 将 ISO/IEC 17799 作为 衡量 信息 安全 管理 体系 规范 程度 的 一 个 标 
准 和 指标 。 

建立 信息 安全 管理 体系 并 获得 经 认可 的 认证 机 构 的 认证 ,不 仅 能 提高 组 织 自身 的 安全 
管理 水 平 , 将 企业 的 安全 风险 控制 在 可 接受 的 程度 , 减 小 信息 安全 遭 到 破坏 带 来 的 损失 , 保 
证 业务 的 可 持续 运作 ;并 且 能 向 客户 及 利益 相关 方 展示 组 织 对 信息 安全 的 承诺 ,增强 投资 方 
和 股票 持 有 者 的 投资 信息 ,向 政府 及 行业 主管 部 门 证 明 组 织 对 相关 法 律 法 规 的 符合 ,并 且 得 
到 国际 上 的 承认 。 尤 其 对 于 银行 .证 券 . 电 子 商 务 和 ISP 等 服务 提供 商 来 说 ,可 以 借 此 向 客 
户 展示 其 服务 比 其 他 竞争 对 手 更 加 安全 可靠, 并 树立 和 增强 企业 的 信息 安全 形象 ,提高 企 
业 的 综合 竞争 力 。 


11.3 中 国 国家 物 联 网 标准 组 织 


一 个 新 兴 产 业 的 发 展 , 最 重要 的 是 掌握 标准 。 我 国 的 无 线 传 感 网 络 及 其 应 用 研究 启动 
较 早 ,是 我 国 科技 领 域 少数 位 于 世界 前 列 的 方向 之 一 。2005 年 ,在 国家 标准 化 管理 委员 会 
下 属 的 全 国信 息 技术 标准 化 技术 委员 会 领导 下 ,中 国 科学 院 和 标准 化 研究 所 合作 推进 国家 
传 感 网 的 标准 化 工作 ,这 要 早 于 国际 标准 的 启动 。 目 前 ,中 国 与 德国 .美国 .英国 和 韩国 等 国 
一 起 成 为 国际 标准 制订 的 主要 国家 之 一 。 
国际 标准 化 组 织 与 国际 电工 委员 会 (ISO/IEC) 于 2008 年 6 月 25 一 27 日 在 上 海 举办 国 
际 首届 传感器 网 络 标准 化 大 会 。 在 这 次 大 会 上 ,由 传感器 网 络 标准 工作 组 代表 中 国 牵头 提 
出 了 整个 传 感 网 的 体系 架构 .产业 的 演进 路 线 和 协议 栈 架 构 等 ,获得 一 至 通过。 中国 代表 团 
向 大 会 提交 8 项 技术 报告 ,这 标志 着 我 国 在 这 项 新 兴 信 息 领 域 的 技术 处 于 国际 前 列 ,在 制订 
国际 标准 中 享有 重要 话语 权 。 在 国际 标准 制定 中 享有 话语 权 , 对 前 沿 科技 领域 的 可 持续 发 
展 和 产业 化 具有 重要 意义 。 在 此 后 的 会 议 上 ,基本 上 都 是 由 我 国 代 表 国 际 标准 化 组 织 做 总 
体 报 告 和 特 邀 报告 。 可 以 说 ,在 标准 化 方向 上 我 国 具 有 举足轻重 的 主导 话语 权 , 这 在 我 国 的 
信息 技术 发 展 史上 还 是 第 一 次 。 

物 联网 标准 的 划分 应 该 是 分 层次 的 ,如 传感器 的 、 应 用 的 、 传 输 的 等 ,或 者 细 化 为 芯片 、 
电路 .通信 接口 和 路 由 等 层次 ,而 我 国正 在 研究 中 的 主要 是 在 传感器 方面 的 标准 ,是 传 感 网 
络 路 由 层面 的 专利 。 目 前 ,我 国 物 联网 技术 的 研发 水 平 已 位 于 世界 前 列 ,在 一 些 关键 技术 上 
处 于 国际 领先 地 位 ,与 德国 .美国 和 日 本 等 国 一 起 成 为 国际 标准 制定 的 主要 国家 ,逐步 成 为 
全 球 物 联网 产业 链 中 重要 的 一 环 。 然 而 在 产业 领域 却 仍 存在 较 多 问题 ,北京 邮电 大 学 网 络 
与 交换 技术 国家 重点 实验 室 宽带 网 研究 中 心 主任 谢 东 亮 认 为 :“ 传 感 网 产业 的 发 展 涉及 产 
业 链 中 信息 采集 、 信 息 传输 和 信息 服务 等 多 个 厂商 ,目前 不 仅 缺 乏 传 感 网 本 身 的 标准 ,也 缺 
乏 传 感 网 和 其 他 网 络 互 联 互通 的 标准 ,这 将 成 为 传 感 网 大 规模 应 用 推广 的 障碍 。” 此 外 ,由 于 
物 联网 潜在 的 安全 问题 ,国内 许多 学 者 在 要 不 要 与 国际 统一 标准 和 如 何 统 一 标准 的 问题 上 
存 有 分 歧 。 
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11.3.1 电子 标签 国家 标准 工作 组 


在 各 技术 委员 会 以 及 行业 协会 的 协同 下 ,中 国正 在 努力 通过 直接 或 间接 的 方式 向 世界 
推广 中 国 制订 的 标准 ,而 不 再 像 从 前 那样 单方 面 地 接受 国际 标准 。 高 科技 是 未 来 国际 贸易 
战争 中 的 滩头 阵地 ,中 国 已 经 充分 意识 到 标准 是 这 场 竞争 中 的 重 中 之 重 。2003 年 1 月 
17 日 ,NPC( 全 国产 品 与 服务 统一 代码 ) 标 准 被 正式 颁布 ,标准 名 称 为 GB 18937 一 2003《 全 国 
产品 与 服务 统一 标识 代码 编制 规则 》, 于 2003 年 4 月 16 日 实施 ,定位 为 强制 性 国家 标准 。 
2003 年 11 月 25 日 ,国家 标准 化 管理 委员 会 下 发 高 新 [2003]30 号 文 ,正式 批复 成 立 电子 标 
签 国 家 标准 工作 组 ,其 任务 是 负责 起 草 、 制 订 中 国有 关 电 子 标签 的 国家 标准 ,使 其 既 具 有 中 
国 的 自主 知识 产权 ,同时 与 目前 国际 的 相关 标准 互通 兼容 ,促进 中 国 的 电子 标签 发 展 纳入 标 
准 化 ,规范 化 的 轨道 。2004 年 1 月 30 日 ,电子 标签 国家 标准 工作 组 宣告 成 立 , 工 作 组 由 原 信 
息 产 业 部 ,国家 标准 化 管理 委员 会 .代码 管理 中 心 牵头 ,清华 大 学 、 北 京 大 学 、 上 海 交通 大 学 
和 北京 邮电 大 学 以 及 国内 60 多 家 电子 标签 的 大 型 企业 共同 参与 。2004 年 9 月 ,国家 标准 化 
管理 委员 会 高 新 技术 部 发 布 了 (关于 暂停 电子 标签 国家 标准 工作 组 ”工作 的 通知 》。 通知 指 
出 : “电子 标签 相关 国家 标准 的 制订 机 构 之 间 工 作 重 复 ,为 保证 电子 标签 技术 和 管理 规范 有 
序 , 确 保 正 在 制订 中 的 相关 标准 之 间 协 调 一 致 ,要 待 重新 整合 后 再 开展 工作 。” 它 的 出 台 让 刚 
刚 成 立 不 到 一 年 的 电子 标签 国家 标准 工作 组 “ 胎 死 腹 中 ”。 

为 促进 我 国电 子 标签 技术 和 产业 的 发 展 ,加 快 国家 标准 和 行业 标准 的 制订 及 修订 速度 ， 
充分 发 挥 政府 , 企 事业 、 研 究 机 构 和 高 校 的 作用 ,经 原 信息 产业 部 科技 司 批准 ,2005 年 12 月 
2 日 ,电子 标签 标准 工作 组 在 北京 正式 宣布 成 立 。 该 工作 组 的 任务 是 联合 社会 各 方面 力量 ， 
开展 电子 标签 标准 体系 的 研究 ,并 以 企业 为 主体 进行 标准 的 预先 研究 和 制订 及 修订 工作 ,其 
组 织 结构 如 图 11. 1 所 示 。 该 工作 组 由 组 长 ,联络 员 成员 ,专题 组 和 秘书 处 构成 。 专 题 组 包 
括 7 个 ,分 别 是 总 体 组 ,知识 产权 组 ,频率 与 通信 组 ,标签 与 读 写 器 组 、 数 据 格 式 组 ,信息 安全 
组 和 应 用 组 。 成 员 分 为 全 权 成 员 和 观察 成 员 。 


全 权 成 员 
成 员 
观察 成 员 
联络 员 总 体 组 
知识 产权 组 
电子 标签 标准 工作 组 组 长 六 一 一 一 一 一 
频率 与 通信 组 
专题 组 标签 与 读 写 器 组 
数据 格式 组 
秘书 处 
信息 安全 组 
应 用 组 


图 {11 电子 标签 标准 工作 组 的 组 织 结构 


总 体 组 的 工作 范围 是 负责 制定 RFID 标准 体系 框架 并 协调 各 个 组 的 工作 ;知识 产权 组 
的 工作 范围 是 制定 RFID 标准 知识 产权 政策 ,起 草 知识 产权 法 律 文件 ,提供 知识 产权 咨询 服 
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务 ;频率 与 通信 组 的 工作 范围 是 负责 提出 我 国 RFID 频率 需求 的 制定 RFID 通信 协议 标准 及 
相应 的 检测 方法 ;标签 与 读 写 器 组 的 工作 范围 是 负责 制订 标签 与 读 写 器 的 物理 特性 和 试验 
方法 等 标准 ;数据 格式 组 的 工作 范围 是 负责 制订 基础 标准 术语、 产品 编码 和 网 络 架构 等 标 
准 ;信息 安全 组 的 工作 范围 是 负责 制订 RFID 相关 的 信息 安全 标准 ,包括 读 写 器 与 标签 之 间 
的 信息 安全 , 读 写 器 与 后 台 系 统 的 信息 安全 ;应 用 组 是 在 国家 总 体 电子 标签 应 用 指南 的 框架 
下 制订 RFID 相关 应 用 标准 。 

电子 标签 标准 工作 组 成 员 单位 参与 制订 的 RFID 标准 主要 有 GB 18937 一 2003《 全 国产 
品 与 服务 统一 标识 代码 编制 规则 》、TB/T 3070 一 2002《 铁 路 机 车 车 辆 自动 识别 设备 技术 条 
件 》 以 及 在 上 海 市 使 用 的 4 送 检 动 物 电 子 标 示 通 用 技术 规范 )。 

电子 标签 标准 工作 组 目前 已 经 公布 的 相关 RFID 标准 主要 有 参照 ISO/IEC 15693 标准 
的 识别 卡 和 无 触 点 的 集成 电路 卡 标准 , 即 GB/T 22351. 1 一 2008《 识 别 卡 无 触 点 的 集成 电路 
卡 邻近 式 卡 第 1 部 分 : 物理 特性 》) 和 GB/T 22351. 3 一 2008《 识 别 卡 无 触 点 的 集成 电路 卡 邻 
近 式 卡 第 3 部 分 : 防 冲 突 和 传输 协议 》。 

电子 标签 标准 工作 组 的 总 体 目标 是 : 努力 建立 一 套 基本 完备 的 、 能 为 我 国 RFID 产业 提 
供 支 撑 的 RFID 标准 体系 ;积极 参与 国际 标准 化 工作 ,争取 具有 自主 知识 产权 的 我 国 的 
RFID 标准 成 为 国际 标准 ;完成 基础 技术 标准 ,包括 电子 标签 、 读 写 嚣 、\RFID 中 间 件 ,数据 内 
容 、 空 间接 口 和 一 致 性 测试 等 方面 的 标准 ;完成 主要 行业 的 应 用 标准 ,包括 物流 、 生 产 制造 、 
交通 和 安全 防伪 等 方面 的 标准 ,积极 推动 我 国 RFID 技术 的 发 展 与 应 用 。 


11.3.2 传感器 网 络 标准 工作 组 


2009 年 9 月 11 日 ,传感器 网 络 标准 工作 组 成 立 大 会 既 " 感 知 中 国 ” 高 峰 论 坛 在 北京 举 
行 。 传 感 器 网 络 标准 工作 组 是 由 国家 标准 化 管理 委员 会 批准 筹建 ,全 国信 息 技术 标准 化 技 
术 委 员 会 批准 成 立 并 领导 ,从 事 传 感 器 网 络 ( 简 称 传 感 网 ) 标 准 化 工作 的 全 国 性 技术 组 织 。 
其 组 成 结构 如 图 11. 2 所 示 。 


请] 标识 组 


组 长 / 副 组 长 
项 目 组 ”站 门 


传感器 网 络 标准 
工作 组 成 员 大 会 


一 | 秘书 处 


门 | 安全 组 


门 接口 组 


电力 行业 应 用 调研 组 
图 112 传感器 网 络 标准 工作 组 的 组 成 
传感器 网 络 标准 工作 组 的 主要 任务 是 根据 国家 标准 化 工作 的 方针 政策 ,研究 并 提出 有 


关 传 感 网 络 标准 化 工作 方针 、 政 策 和 技术 措施 的 建议 ;按照 国家 标准 制订 和 修订 原则 ,积极 
采用 国际 标准 和 国外 先进 标准 的 方针 ,制订 和 完善 传 感 网 的 标准 体系 表 。 提 出 制订 和 修订 
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传 感 网 国家 标准 的 长 远 规划 和 年 度 计划 的 建议 ;根据 批准 的 计划 ,组 织 传 感 网 国家 标准 的 制 
订 和 修订 工作 及 其 他 与 标准 化 有 关 的 工作 。 

传感器 网 络 标准 工作 是 由 PG1( 国 际 标准 化 组 )、PG2 (标准 体系 与 系统 架构 组 )、PG3 
(通信 与 信息 交互 组 )、PG4( 协 同 信息 处 理 组 )、PG5 (标识 组 )、PG6( 安 全 组 )、PG7( 接 口 组 ) 
和 PG8( 电 力行 业 应 用 调研 组 )8 个 专项 组 构成 ,开展 具体 的 国家 标准 的 制订 工作 。 

传感器 网 络 标准 工作 组 已 经 立项 的 国家 标准 和 行业 标准 见 表 11. 1。2009 年 12 月 ,该 
工作 组 完成 了 6 项 国家 标准 和 2 项 行业 标准 的 立项 工作 。6 项 国家 标准 包括 总 则 、 术 语 、 通 
信和 与 信息 交互 .接口 .安全 ,标识 ,2 项 电子 行业 标准 是 机 场 围 界 传感器 网 络 防 和 人 侵 系统 技术 
要 求 和 面向 大 型 建筑 节能 监控 的 传感器 网 络 系统 技术 要 求 。 这 6 项 国家 标准 和 2 项 行业 标 
准 已 在 2010 年 底 完成 。 


表 11.1 传感器 网 络 标准 工作 组 已 立项 的 国家 标准 和 行业 标准 


编 号 标准 名 称 标准 性 质 完成 年 限 
1 传感器 网 络 第 1 部 分 : 总 则 推荐 2010 
2 传感器 网 络 第 2 部分: 术语 推荐 2010 
3 传感器 网 络 第 3 部 分 : 通信 与 信息 交互 推荐 2010 
4 传感器 网 络 第 4 部分: 接口 推荐 2010 
5 传感器 网 络 第 5 部 分 : 安全 推荐 2010 
6 传感器 网 络 第 6 部 分 : 标识 推荐 2010 
7 机 场 围 界 传感器 网 络 防 人 侵 系 统 技术 要 求 推荐 2010 
8 面向 大 型 建筑 节能 监控 的 传感器 网 络 系统 技术 要 求 推荐 2010 


除了 2009 年 12 月 立项 的 6 项 国家 标准 ,2010 年 1 月 ,工作 组 又 申报 了 4 项 国家 标准 的 
立项 , 即 传感器 网 络 网 关 技 术 要求 .传感器 网 络 协同 信息 处 理 支撑 服务 与 接口 传感器 网 络 
节点 中 间 件 数据 交互 规范 和 传感器 网 络 数据 描述 规范 , 见 表 11.2。 其 中 ,协同 信息 处 理 支撑 
服务 及 接口 在 国际 标准 化 组 织 中 推动 了 目前 一 个 新 的 工作 项 目 ,2010 年 3 月 ,这 项 标准 已 经 
通过 了 新 工作 项 目的 投票 ,即将 启动 国际 标准 化 的 制订 工作 。 


表 11.2 传感器 网 络 标准 工作 组 已 申报 的 国际 标准 和 国家 标准 


编 号 标准 名 称 标准 性 质 完成 年 限 
1 传感器 网 络 网 关 技 术 要 求 推荐 2010 
2 传感器 网 络 协同 信息 处 理 支 撑 服 务 及 接口 推荐 2010 
3 传感器 网 络 节点 中 间 件 数据 交互 规范 推荐 2010 
4 传感器 网 络 数据 描述 规范 推荐 2010 


11.3.3 中 国 物 联网 标准 联合 工作 组 


2010 年 6 月 8 日 .在 国家 标准 化 管理 委员 会 .工业 和 信息 化 部 等 相关 部 委 的 共同 领导 和 
直接 指导 下 ,由 全 国 工业 过 程 测量 和 控制 标准 化 技术 委员 会 .全 国 智能 建筑 及 居住 区 数字 化 
标准 化 技术 委员 会 ,全国 智能 运输 系统 标准 化 技术 委员 会 等 19 家 现 有 标准 化 组 织 联合 倡导 
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并 发 起 成 立 物 联网 标准 联合 工作 组 。 联 合 工作 组 将 紧 紧 围绕 物 联 网 产业 与 应 用 发 展 需求 ， 
统筹 规划 ,整合 资源 ,坚持 自主 创新 与 开放 兼容 相 结合 的 标准 战略 ,加 快 推进 我 国 物 联网 国 
家 标准 体系 的 建设 和 相关 国家 标准 的 制定 ,同时 积极 参与 有 关 国 际 标准 的 制定 ,以 掌握 发 展 
的 主动 权 。 中 国 物 联网 标准 联合 工作 组 的 组 成 如 图 11. 3 所 示 。 


全 国 工业 过 程 测量 和 控制 标准 化 技术 委员 会 
全 国 智能 建筑 及 居住 区 数字 化 标准 化 技术 委员 会 
全 国 智能 运输 系统 标准 化 技术 委员 会 
全 国 集装箱 标准 化 技术 委员 会 
全 国电 力 系 统管 理 及 信息 交换 标准 化 技术 委员 会 
全 国家 用 电器 标准 化 技术 委员 会 
全 国安 全 生产 标准 化 技术 委员 会 
中 国 急诊 医师 协会 技术 标准 委员 会 
工业 和 信息 化 部 电子 标签 标准 工作 组 
工业 和 信息 化 部 信息 资源 共享 协同 服务 标准 工作 
工业 和 信息 化 部 宽带 无 线 IP 标 准 工作 组 
一 | 工业 和 信息 化 部 数字 音 视频 编 解 码 技术 标准 工作 组 
上 工业 和 信息 化 部 家 庭 网 络 标准 工作 组 
全 国信 息 技术 标准 化 技术 委员 会 传感器 网 络 标准 工作 组 
总 后 信息 化 专家 咨询 委员 会 标准 化 专业 委员 会 
mn 卫生 行业 RFID 与 物 联网 标准 工作 组 
商务 领域 射频 识别 标签 数据 格式 标准 工作 组 
国家 密码 管理 局 电子 标签 密码 应 用 体系 研究 专项 工作 组 
香港 物流 与 供应 链 管 理应 用 技术 研发 中 心 


图 113 中 国 物 联 网 标准 联合 工作 组 的 组 成 


浊 壮 上 了 落 谢 匣 翌 织 艺 于 壬 


11.3.4 泛 在 网 技术 工作 委员 会 


2010 年 2 月 2 日 ,中 国 通信 标准 化 协会 (CCSA) 泛 在 网 技术 工作 委员 会 (TC10) 成 立 大 会 
贤 第 一 次 全 会 在 北京 召开 。TC10 的 成 立 标志 着 CCSA 今后 在 泛 在 网 技术 与 标准 化 领域 的 研 
究 将 更 加 专业 化 、 系 统 化 和 深入 化 , 必 将 进一步 促进 电信 运营 商 在 泛 在 网 领域 进行 积极 的 探索 
和 有 益 的 实践 ,不 断 优化 设备 制造 商 的 技术 研发 方案 ,推动 泛 在 网 产业 的 健康 快速 发 展 。 


11.4 信息 安全 管理 体系 


11.4.1 信息 安全 管理 简介 


随 着 以 计算 机 和 网 络 通信 为 代表 的 信息 技术 (IT) 的 迅猛 发 展 ,政府 部 门 、 金 融 机 构 \ 企 
事业 单位 和 商业 组 织 对 IT 系统 的 依赖 也 日 益 加 重 .信息 技术 几乎 渗透 到 了 世界 各 地 和 社会 
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生活 的 方方面面 。 如 今 ,遍布 全 球 的 互联 网 使 得 组 织 机 构 不 仅 内 在 依赖 IT 系统 ,还 不 可 避 
免 地 与 外 部 的 IT 系统 建立 了 错综复杂 的 联系 ,但 系统 瘫痪 、 黑 客 入侵 、 病 毒 感染 、 网 页 改写 、 
客户 资料 的 流失 及 公司 内 部 资料 的 泄露 等 事情 时 有 发 生 , 这 些 给 组 织 的 经 营 管理 .生存 甚至 
国家 安全 都 带 来 严重 的 影响 。 所 以 ,对 信息 加 以 保护 ,防范 信息 的 损坏 和 泄露 ,已 成 为 当前 
组 织 迫切 需要 解决 的 问题 。 

目前 组 织 普遍 采用 现代 通信 、 计 算 机 和 网 络 技术 来 构建 组 织 的 信息 系统 。 但 大 多 数组 
织 的 最 高 管理 层 对 信息 资产 所 面临 的 威胁 的 严重 性 认识 不 足 , 缺 乏 明 确 的 信息 安全 方针 和 
完整 的 信息 安全 管理 制度 ,相应 的 管理 措施 不 到 位 ,如 系统 的 运行 .维护 和 开发 等 岗位 不 清 ， 
职责 不 分 ,存在 一 个 人 身 兼 数 职 的 现象 。 这 些 都 是 造成 信息 安全 事件 的 重要 原因 。 缺 乏 系 
统 的 管理 思想 也 是 一 个 重要 的 问题 。 所 以 ,我们 需要 一 个 系统 的 .整体 规划 的 信息 安全 管理 
体系 ,从 预防 控制 的 角度 出 发 ,保障 组 织 的 信息 系统 与 业务 的 安全 与 正常 运作 。 


11.4.2 信息 安全 管理 体系 标准 发 展 历史 


目前 ,在 信息 安全 管理 体系 方面 ,ISO/IEC 27001:2005 信息 安全 管理 体系 标准 已 经 成 
为 世界 上 应 用 最 广泛 与 典型 的 信息 安全 管理 标准 。ISOVIEC 27001 是 由 英国 标准 BS 7799 
转换 而 成 的 。 

BS 7799 标准 于 1993 年 由 英国 贸易 工业 部 立项 ,于 1995 年 英国 首次 出 版 BS 7799-1: 
1995《 信 息 安全 管理 实施 细则 》, 它 提供 了 一 套 综合 的 、 由 信息 安全 最 佳 惯例 组 成 的 实施 规 
则 ,其 目的 是 作为 确定 工商 业 信 息 系 统 在 大 多 数 情 况 所 需 控 制 范围 的 参考 基准 ,适用 于 大 、 
中 ,小 组 织 。 

1998 年 英国 公布 标准 的 第 二 部 分 BS 7799-2《 信 息 安全 管理 体系 规范 》, 它 规定 信息 安 
全 管理 体系 要 求 与 信息 安全 控制 要 求 ,是 一 个 组 织 的 全 面 或 部 分 信息 安全 管理 体系 评估 的 
基础 , 它 可 以 作为 一 个 正式 认证 方案 的 根据 。 

BS 7799-1 与 BS 7799-2 经 过 修订 于 1999 年 重新 予以 发 布 ,1999 版 考虑 了 信息 处 理 技 
术 , 尤 其 是 在 网 络 和 通信 和 领域 应 用 的 近期 发 展 .同时 还 非常 强调 商务 涉及 的 信息 安全 及 信息 
安全 的 责任 。 

2000 年 12 月 ,BS 7799-1:1999《 信 息 安全 管理 实施 细则 ) 通 过 了 国际 标准 化 组 织 
ISO 的 认可 ,正式 成 为 国际 标准 ISO/IEC 17799:2000《 信 息 技术 -信息 安全 管理 实施 细 
则 》, 该 标准 现 已 升 版 为 ISO/IEC17799:2005。2002 年 9 月 5 日 ,BS7799-2:2002 正式 发 
布 ,2002 版 标准 主要 在 结构 上 做 了 修订 ,引入 了 PDCA(Plan-Do-Check-Act) 的 过 程 管理 模 
式 , 建 立 了 与 ISO 9001 ISO 14001 和 OHSAS 18000 等 管理 体系 标准 相同 的 结构 和 运行 
模式 。 

2005 年 ,BS 7799-2: 2002 正式 转换 为 国际 标准 ISO/IEC 27001 :2005。 

依据 ISO/TEC 27001:2005 建立 信息 安全 管理 体系 并 获得 认证 正成 为 世界 潮流 。ISO/ 
IEC 27001:2005 标准 包括 11 大 管理 要 项 、39 个 控制 目标 和 133 项 控制 措施 ,为 组 织 提供 全 
方位 的 信息 安全 保障 。 

2007 年 ,ISO/IEC 17799: 2005 已 更 新 并 在 2007 年 7 月 1 日 正式 发 布 为 ISO/IEC 
27002 :2005, 这 次 更 新 只 在 于 标准 的 号 码 .标准 的 内 容 并 没有 改变 。 
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11.4.3 信息 安全 管理 体系 标准 主要 内 容 


信息 安全 管理 体系 标准 主要 内 容 如 下 ( 见 图 11. 4)。 


业务 持续 性 管理 资产 分 类 与 管理 
信息 安全 事件 管理 
系统 的 获取 、 
Os 物理 和 环境 安全 
通信 与 操作 管理 


图 114 信息 安全 管理 体系 标准 的 主要 内 容 


1. 安全 方针 


管理 层 应 对 信息 安全 提出 明确 目标 ,并 制订 出 可 操作 的 安全 管理 策略 ,为 信息 安全 提供 
管理 指导 和 支持 。 


2. 安全 组 织 

在 组 织 内 建立 信息 安全 组 织 ,管理 与 第 三 方 有 关 及 外 包 管理 的 安全 问题 。 

3. 资产 分 类 与 管理 

对 与 信息 技术 有 关 的 资产 进行 分 类 ,加 强 与 信息 技术 有 关 的 资产 分 类 管理 ,并 对 这 些 资 
产 就 价值 和 重要 性 进行 分 类 标识 ,实施 不 同 的 安全 措施 对 这 些 资产 进行 保护 。 

4. 人 力 资源 安全 

明确 工作 人 员 在 招聘 、 雇 用 、 解 聘 过 程 中 所 涉及 的 信息 保密 等 安全 问题 ,加 强 对 工作 人 


员 信 息 安全 培训 与 教育 ,提高 工作 人 员 安 全 防范 意识 ,减少 人 为 错误 偷窃、 欺诈 或 滥用 信息 
及 处 理 设 施 的 风险 。 


5. 物理 和 环境 安全 


分 析 安 全 威胁 来 源 , 划 分 物理 安全 区 域 ,加 强 对 后 台 计 算 机 服务 器 与 用 户 桌面 计算 机 的 
保护 ,防止 因 水 、 火 、 咨 窃 、 雷 电 、 电 力 供应 和 化 学 腐蚀 等 因素 带 来 的 安全 威胁 ,并 制订 计算 机 
设备 引进 .日常 运行 、 销 毁 处 理 程序 和 办 法 。 
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6. 通信 与 操作 管理 


柳 盖 应 用 系统 日 常 运营 和 维护 程序 ,服务 水 平 管理 网络 管 理 、 存 储 介质 管理 、 防 恶意 软 
件 攻击 保护 ,系统 和 数据 备份 与 恢复 管理 、 信 息 交 换 管 理 等 ,确保 信息 处 理 设施 正确 和 安全 
运行 : 

7. 访问 控制 


定义 用 户 存 取 控 制 策略 ,管理 用 户 存 取 过 程 ,包括 对 网 络 存 取 控制 操作 系统 .应 用 系统 
及 移动 设备 和 远程 工作 设备 进行 存 取 控制 。 


8. 系统 的 获取 、 开 发 和 维护 


明确 应 用 系统 安全 需求 ,包括 输入 数据 校 验 、 输 出 数据 校 验 、 业 务 处 理 过 程 校 验 、 传 输 数 
据 认证 等 ;确定 加 密 控制 办 法 ,包括 加 密 、 数 字 签 名 \ 不 可 否认 服务 和 密 钥 管 理 等 管控 办 法 ; 
确定 系统 文件 的 安全 保护 办 法 ,以 及 开发 和 支持 过 程 的 安全 管理 办 法 。 确 保 将 安全 纳入 信 
息 系统 的 整个 生命 周期 。 


9. 信息 安全 事件 管理 
确保 安全 事件 发 生 后 有 正确 的 处 理 流 程 和 报告 方式 。 
10. 业务 持续 性 管理 


定义 业务 持续 性 管理 过 程 ,业务 持续 性 和 影响 过 程 分 析 ,制订 和 执行 切实 可 行 的 业务 持 
续 性 计划 ,定期 测试 维护、 演练 和 重新 评估 业务 持续 性 计划 。 防 止 业务 活动 的 中 断 , 并 保护 
关键 的 业务 过 程 免 受 重大 故障 或 灾难 的 影响 。 


11. 符合 性 


识别 现 有 适用 的 法 律 法 规 , 保 护 个 人 信息 的 隐私 ;使 用 合法 的 、 正 版 的 系统 软件 与 应 用 
软件 ;加 强 计算 机 安全 审计 ,保障 技术 和 安全 策略 的 合 规 性 。 避 免 违反 任何 刑法 和 民法 ,法 
律 法 规 或 合同 义务 以 及 任何 安全 要 求 。 


11.4.4 信息 安全 管理 体系 认证 


BS 7799-2 从 1998 年 颁布 后 ,在 全 世界 范围 内 得 到 广泛 的 认可 ,目前 已 有 40 多 个 国家 和 地 
区 开展 信息 安全 管理 体系 的 认证 。 根 据 信 息 安全 管理 体系 国际 使 用 者 协会 (ISMS International 
User Group) 的 最 新 统计 ,到 2005 年 底 , 全 球 通 过 信息 安全 管理 体系 BS 7799-2 认证 的 组 织 已 经 
超过 2000 家 。 

信息 安全 对 每 个 企业 或 组 织 来 说 都 是 需要 的 ,所 以 信息 安全 管理 体系 认证 具有 普遍 的 
适用 性 ,不 受 地 域 . 产 业 类 别 和 公司 规模 限制 。 从 目前 的 获得 认证 的 企业 情况 看 , 较 多 的 是 
涉及 电信 ,保险 ,银行 .数据 处 理 中 心 IC 制造 和 软件 外 包 等 行业 。 

对 组 织 来 说 ,符合 ISO/IEC 27001/BS 7799 标准 并 且 获 得 信息 安全 管理 体系 认证 证 书 ， 
虽然 不 能 证 明 组 织 达 到 了 100% 的 安全 ,但 通过 信息 安全 管理 体系 的 认证 能 够 强 有 力 地 保障 
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组 织 的 信息 资产 的 保密 性 、 完 整 性 和 可 用 性 ,并 能 带 来 如 下 好 处 : 


(1) 加 强 公司 信息 资产 的 安全 性 ,保障 业务 持续 性 与 紧急 恢复 。 

(2) 强化 员工 的 信息 安全 意识 ,规范 组 织 信息 安全 行为 。 

(3) 减少 潜在 的 风险 隐患 ,减少 信息 系统 故障 和 人 员 流 失 带 来 的 经 济 损失 。 
(4) 维护 企业 的 声誉 .品牌 和 客户 信任 ,维持 竞争 优势 。 

(5) 满足 客户 和 法 律 法 规 要 求 。 


习题 十 一 
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. 主要 的 国际 信息 安全 标准 化 组 织 有 哪些 ? 

. 国际 上 比较 有 影响 的 信息 安全 标准 体系 主要 有 哪些 ? 
. 国内 安全 标准 组 织 机 构 主 要 有 哪些 ? 

. 简 述 中 国 国家 物 联 网 标准 组 织 的 发 展 与 组 成 。 

. 简 述 信息 安全 管理 体系 标准 的 主要 内 容 。 

. 什么 是 信息 安全 管理 体系 认证 ? 


Dan mo 王 


第 12 童 安全 体系 结构 规划 与 设计 


物 联 网 的 安全 和 互联 网 的 安全 问题 一 样 ,永远 都 是 一 个 被 广泛 关注 的 话题 。 

由 于 物 联网 连接 和 处 理 的 对 象 主要 是 机 器 或 物 的 相关 数据 ,其 "所 有 权 ” 特 性 导致 物 联 
网 信息 安全 要 求 比 以 处 理 “ 文 本 ”为 主 的 互联 网 更 高 ,对 “隐私 权 ” 保 护 的 要 求 也 更 高 。 此 外 
还 有 可 信和 度 问 题 ,包括 “防伪 ”和 防 DoS(Denial of Services) 攻 击 ,因此 有 很 多 人 呼吁 要 特别 
关注 物 联 网 的 安全 问题 。 

当 全 世界 互联 成 一 个 超级 系统 时 ,系统 安全 性 将 直接 关系 到 国家 安全 。 如 果 中 国 在 建设 
“智慧 地 球 ” 的 过 程 中 ,不 能 坚持 “自主 可 控 ? 原 则 ,国家 风险 将 会 凸显 ,失去 “信息 主权 ”。 笔 者 
认为 , 物 联 网 安全 和 以 往 的 信息 安全 并 无 本 质 区 别 ,我 们 需要 高 度 重视 , 面 对 挑战 制定 对 策 。 


12.1 物 联网 系统 的 安全 


12.1.1 物 联网 安全 尺度 


物 联网 系统 的 安全 和 一 般 IT 系统 的 安全 基本 一 样 , 主 要 有 8 个 尺度 : 读 取 控 制 、 隐 私 
保护 、 用 户 认证 ,不 可 抵赖 性 、 数 据 保密 性 、 通 信和 层 安 全 数据 完整 性 和 随时 可 用 性 。 

前 4 项 主要 处 在 物 联网 DCM 三 层 架 构 的 应 用 层 ,后 4 项 主要 位 于 传输 层 和 感知 层 。 其 
中 隐私 权 和 可 信和 度 ( 数 据 完整 性 和 保密 性 ) 问 题 在 物 联 网 体系 中 尤其 受 人 关注 。 

如 果 从 物 联网 系统 体系 架构 的 各 个 层面 仔细 分 析 , 会 发 现 现 有 的 安全 体系 基本 上 可 以 
满足 物 联网 应 用 的 需求 ,尤其 在 物 联网 的 初级 和 中 级 发 展 阶段 。 


12.1.2 物 联 网 应 用 安全 问题 


物 联网 应 用 特有 ( 比 一 般 IT 系统 更 易 受 侵扰 ) 的 安全 问题 有 如 下 几 种 。 

(1) 略 读 (Cskimming) : 在 末端 设备 或 RFID 持 卡 人 不 知情 的 情况 下 ,信息 被 读 取 。 
(2) 窃听 (eavesdropping) : 在 一 个 通道 的 中 间 ,信息 被 中 途 截取 。 

(3) 欺骗 (spoofing) : 伪造 复制 设备 数据 ,冒名 输入 到 系统 中 。 

(4) 克隆 (cloning) : 克隆 末端 设备 ,冒名 顶替 。 

(5) 谋杀 (killing) : 损坏 或 盗 走 末端 设备 。 

(6) 拥塞 (jamming) : 伪造 数据 ,导致 设备 阻塞 不 可 用 。 

(7) 屏蔽 (Cshielding) : 用 机 械 手 段 屏 项 电信 号 ,让 末端 无 法 连接 。 


12.1.3 物 联网 特有 的 信息 安全 挑战 


针对 上 述 问题 , 物 联网 发 展 的 中 、 高 级 阶段 面临 如 下 五 大 特有 (在 一 般 IT 安全 问题 之 
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上 ) 的 信息 安全 挑战 。 

(1) 四 大 类 (有 线 长 短 距 离 和 无 线 长 ` 短 距离 ) 网 络 相互 连接 组 成 的 异 构 、 多 级 、 分 布 式 
网 络 导致 统一 的 安全 体系 难以 实现 “桥接 "和 过 渡 。 

(2) 设备 大 小 不 一 、 存 储 和 处 理 能 力 的 不 一 致 导致 安全 信息 (如 PKI Credentials 等 ) 的 
传递 和 处 理 难 以 统一 。 

(3) 设备 可 能 无 人 值守 、 丢 失 、 处 于 运动 状态 、 连 接 可 能 时 断 时 续 、 可 信和 度 差 , 种 种 因素 
增加 了 信息 安全 系统 设计 和 实施 的 复杂 度 。 

(4) 在 保证 一 个 智能 物件 要 被 数量 庞大 甚至 未 知 的 其 他 设备 识别 和 接受 的 同时 ,又 要 
同时 保证 其 信息 传递 的 安全 性 和 隐私 性 。 

(5) 用 户 单一 实例 服务 器 SaaS 模式 对 安全 框架 的 设计 提出 了 更 高 的 要 求 。 

对 于 上 述 问题 的 研究 和 产品 开发 ,目前 国内 外 都 还 处 于 起 步 阶 段 , 在 WSN 和 RFID 领 
域 有 一 些 针对 性 的 研发 工作 ,统一 标准 的 物 联 网 安全 体系 的 问题 目前 还 没 提 上 议事 日 程 , 比 
物 联网 统一 数据 标准 的 问题 更 滞后 。 这 两 个 标准 密切 相关 ,甚至 合并 到 一 起 统筹 考虑 ,其 重 
要 性 不 言 而 喻 。 


12.2 物 联网 系统 安全 性 分 析 


12.2.1 传统 网 络 安全 问题 分 析 


物 联网 是 基于 互联 网 技术 将 设备 联接 起 来 的 一 种 综合 的 技术 体系 ,因此 互联 网 是 基础 ， 
互联 网 的 安全 直接 关系 到 整个 物 联网 的 安全 体系 。 互 联网 安全 问题 涉及 网 络 设备 基础 安 
全 、 网 络 安全 、Web 安全 以 及 基于 Web 的 应 用 安全 等 各 个 方面 ,下 文中 的 互联 网 特 指 物 联网 
中 的 互联 网 部 分 ,其 涵盖 内 容 主要 包括 安全 编码 .数据 帧 安全 和 密 钥 管理 与 交换 。 


1. 安全 编码 


由 于 任意 一 个 标签 的 标识 或 识别 码 都 能 被 远程 任意 地 扫描 , 且 标 签 自动 地 ,不 加 区 分 回 
应 阅读 器 的 指令 并 将 其 所 存储 的 信息 传输 给 阅读 器 ,因此 编码 的 安全 性 必须 引起 重视 。 


2. 数据 帧 安全 


在 互联 网 信息 传播 环境 中 ,攻击 者 可 能 偷 听 数 据 帧 内 容 , 获 取 相 关 信息 ,为 进一步 攻击 
做 准备 。 


3. 密 钥 管理 与 交换 


互联 网 中 实施 机 密 性 和 完整 性 措施 关键 在 于 密 钥 的 建立 和 管理 过 程 ,由 于 物 联网 中 节 
点 计算 能 力 和 电源 能 力 等 有 限 ,使 得 传统 的 密 钥 管 理 方式 不 适用 于 物 联网 。 


12.2.2 物 联网 特有 安全 问题 分 析 


根据 物 联网 自身 的 特点 , 物 联网 除了 传统 网 络 安全 问题 之 外 ,还 存在 着 一 些 与 已 有 移动 
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网 络 安全 不 同 的 特殊 安全 问题 。 这 是 由 于 物 联网 是 由 大 量 的 机 器 构成 ,缺少 人 对 设备 的 有 
效 监控 ,并 且 数 量 庞大 ,设备 集群 等 相关 特点 造成 的 , 物 联网 特有 的 安全 问题 主要 有 以 下 几 
个 方面 。 


1. 点 到 点 消息 认证 


由 于 物 联 网 的 应 用 可 以 取代 人 来 完成 一 些 复杂 、 危 险 和 机 械 的 工作 。 所 以 物 联网 机 器 / 
感知 节点 多 数 部 署 在 无 人 监控 的 场景 中 。 攻 击 者 可 以 轻易 地 接触 到 这 些 设备 ,从 而 对 它们 
造成 破坏 ,甚至 通过 本 地 操作 更 换 机 器 的 软 硬 件 , 因 此 物 联 网 中 有 可 能 存在 大 量 的 损坏 节点 
和 恶意 节点 。 


2. 重 放 攻 击 


在 物 联 网 标签 体系 中 无 法 证 明 此 信息 已 传递 给 阅读 器 ,攻击 者 可 以 获得 已 认证 的 身份 ， 
再 次 获得 相应 服务 。 


3. 拒绝 服务 攻击 


一 方面 物 联网 ONS 以 DNS 技术 为 基础 ,ONS 同样 也 继承 了 DNS 的 安全 隐患 ; 另 一 方 
面 由 于 物 联网 中 节点 数量 庞大 , 且 以 集群 方式 存在 ,因此 会 导致 在 数据 传播 时 ,由 于 大 量 机 
器 的 数据 发 送 使 网 络 拥塞 ,产生 拒绝 服务 攻击 ,攻击 者 利用 广播 Hello 信息 、 通 信和 机制 中 的 
优先 级 策略 .虚假 路 由 等 协议 漏洞 同样 能 产生 拒绝 服务 攻击 。 


4. 算 改 或 泄漏 标识 数据 


攻击 者 一 方面 可 以 通过 破坏 标签 数据 ,使 得 物品 服务 不 可 使 用 ; 另 一 方面 窃取 标识 数 
据 ,获得 相关 服务 或 者 为 进一步 攻击 做 准备 。 


5. 权限 提升 攻击 


攻击 者 通过 协议 漏洞 或 其 他 脆弱 性 使 得 某 物品 获取 高 级 别 服务 ,甚至 控制 物 联网 其 他 
节点 的 运行 。 


6. 业务 安全 


传统 的 认证 是 区 分 不 同 层次 的 ,网 络 层 的 认证 就 负责 网 络 层 的 身份 鉴别 ,业务 层 的 认证 
就 负责 业务 层 的 身份 鉴别 ,两 者 独立 存在 。 但 是 在 物 联网 中 ,大 多 数 情 况 下 ,机 器 都 拥有 专 
门 的 用 途 , 因 此 其 业务 应 用 与 网 络 通信 紧 紧 地 绑 在 一 起 。 由 于 网 络 层 的 认证 是 不 可 缺少 的 ， 
那么 其 业务 层 的 认证 机 制 就 不 再 是 必需 的 ,而 是 可 以 根据 业务 由 谁 来 提供 和 业务 的 安全 敏 
感 程度 来 设计 。 

例如 , 当 物 联网 的 业务 由 运营 商 提供 时 ,就 可 以 充分 利用 网 络 层 认 证 的 结果 而 不 需要 进 
行业 务 层 的 认证 ; 当 物 联网 的 业务 由 第 三 方 提供 而 无 法 从 网 络 运营 商 处 获得 密 钥 等 安全 参 
数 时 , 它 就 可 以 发 起 独立 的 业务 认证 而 不 用 考虑 网 络 层 的 认证 。 

或 者 当 业 务 是 敏感 业务 时 ,一 般 业 务 提 供 者 会 不 信任 网 络 层 的 安全 级 别 , 而 使 用 更 高 级 
别 的 安全 保护 ,这 时 就 需要 做 业务 层 的 认证 。 

而 当 业 务 是 普通 业务 时 ,如 气温 采集 业务 等 ,业务 提供 者 认为 网 络 认证 已 经 足够 ,就 不 
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再 需要 业务 层 的 认证 。 
7. 隐私 安全 


在 未 来 的 物 联网 中 ,每 个 人 包括 每 件 拥有 的 物品 都 将 随时 随地 连接 在 这 个 网 络 上 ,随时 
随地 被 感知 ,在 这 种 环境 中 如 何 确保 信息 的 安全 性 和 隐私 性 ,防止 个 人 信息 ,业务 信息 和 财 
产 丢 失 或 被 他 人 盗用 ,将 是 物 联网 推进 过 程 中 需要 突破 的 重大 障碍 之 一 。 

物 联网 安全 属性 包括 机 密 性 ,完整 性 、 问 责 制 和 可 用 性 , 表 12. 1 给 出 物 联网 点 到 点 消息 
认证 、 重 放 攻 击 、 拒 绝 服 务 攻击 、 自 改 或 泄漏 标识 数据 、 权 限 提升 攻击 和 业务 安全 等 特有 安全 
问题 的 安全 属性 分 析 表 。 


表 12.1 安全 属性 与 安全 问题 
安全 属性 


安全 问题 


点 到 点 消息 认证 x x x x 
重 放 攻 击 < 一 x 一 
拒绝 服务 攻击 一 一 一 
算 改 或 泄漏 标识 数据 
权限 提升 攻击 

隐私 安全 

业务 安全 


x x x 


> -其 


12.3 物 联 网 安全 体系 的 目标 与 防护 原则 


12.3.1 安全 目标 


物 联网 基本 安全 目标 是 指 在 数据 或 信息 在 传输 ,存储 和 使 用 过 程 中 实现 机 密 性 、 完 整 
性 、 问 责 制 和 可 用 性 。 

感知 节点 通常 情况 下 功能 简单 (如 自动 温度 计 ) ,携带 能 量 少 (使 用 电池 ) ,使 得 它们 无 法 
拥有 复杂 的 安全 保护 能 力 ,而 感知 网 络 多 种 多 样 ,从 温度 测量 到 水 文 监 控 , 从 道路 导航 到 自 
动 控制 ,它们 的 数据 传输 和 消息 也 没有 特定 的 标准 ,很 难 提供 统一 的 安全 保护 体系 。 

物 联 网 物理 安全 、 安 全 计算 环境 、 安 全 区 域 边 界 、 安 全 通信 网 络 、 安 全 管理 中 心 及 应 急 响 
应 恢复 与 处 置 6 方面 的 安全 目标 构建 EPC 安全 体系 ,满足 物 联网 密 钥 管理 ,点 到 点 消息 认 
证 、 防 重 放 、 抗 拒绝 服务 、 防 算 改 或 泄漏 和 业务 安全 等 安全 需求 。 


12.3.2 防护 原则 
物 联网 的 安全 需要 坚持 如 下 原则 : 


(1) 坚持 综合 防范 、 确 保安 全 的 原则 。 
从 法 律 .管理 .技术 和 人 员 等 多 个 方面 ,从 预防 应 急 和 打击 犯罪 等 多 个 环节 采取 多 种 措 
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施 。 对 组 织 安全 ,管理 安全 和 技术 安全 进行 综合 防范 ,全 面 提 高 物 联网 的 安全 防护 水 平 。 

(2) 坚持 统筹 兼顾 ,分 步 实 施 的 原则 。 

统筹 信息 化 发 展 与 信息 安全 保障 ,统筹 信息 安全 技术 与 管理 ,统筹 经 济 效益 与 社会 效 
益 , 统 筹 当前 和 长 远 ,统筹 中 央 和 地 方 。 

(3) 坚持 制度 体系 、 流 程 管 理 与 技术 手段 相 结合 的 原则 。 

保证 充足 合理 的 经 费 投入 、 高 素质 安全 技术 和 管理 人 员 ,建立 完善 的 技术 支持 和 运行 维 
护 组 织 管理 体系 ,制订 完整 的 运行 维护 管理 制度 和 明确 的 维护 工作 流程 。 

(4) 坚持 以 防 为 主 \ 注 重 应 急 的 原则 。 

网 络 安全 系统 建设 的 关键 在 于 如 何 预防 和 控制 风险 ,并 在 发 生 信 息 安全 事故 或 事件 时 
最 大 程度 地 减少 损失 ,尽快 使 网 络 和 系统 恢复 正常 。 

(5) 坚持 技术 与 管理 相 结 合 原则 。 

安全 体系 是 一 个 复杂 的 系统 工程 ,涉及 人 技术 和 操作 等 要 素 , 因 此 必须 将 各 种 安全 技 
术 与 运行 管理 机 制 . 人 员 思 想 教育 与 技术 培训 、 安 全 规章 制度 建设 相 结合 。 


12.4 物 联网 信息 安全 整体 防护 技术 


12.4.1 安全 体系 结构 

物 联网 系统 安全 技术 体系 分 为 物理 安全 ,安全 计算 环境 .安全 区 域 边界 .安全 通信 网 络 、 
安全 管理 中 心 以 及 应 急 响 应 恢复 与 处 置 6 个 方面 。 

1. 物理 安全 


物理 安全 主要 包括 物理 访问 控制 、 环 境 安 全 (监控 ,报警 系统 、 防 雷 、 防 火 、 防 水 防潮 和 
静电 消除 器 等 装置 ) .电磁 兼容 性 安全 ,记录 介质 安全 ,电源 安全 和 EPC 设备 安全 6 个 方面 。 


2. 安全 计算 环境 


安全 计算 环境 主要 包括 感知 节点 身份 鉴别 .自主 /强制 /角色 访问 控制 .授权 管理 (PKI/ 
PMI 系统 ) 、 感 知 节点 安全 防护 (恶意 节点 、 节 点 失效 识别 )、 标 签 数据 源 可 信 、 数 据 保密 性 和 
完整 性 .EPC 业务 认证 和 系统 安全 审计 。 


3. 安全 区 域 边界 


安全 区 域 边界 主要 包括 节点 控制 (网 络 访问 控制 ,节点 设备 认证 )、 信 息 安 全 交换 (数据 
机 密 性 与 完整 性 ,指令 数据 与 内 容 数 据 分 离 ,数据 单 向 传输 ) 、 节 点 完整 性 (防护 非法 外 联 、 入 
侵 行为 .恶意 代码 防范 ) 和 边界 审计 。 


4. 安全 通信 网 络 


安全 通信 网 络 主要 包括 链 路 安全 (物理 专用 或 逻辑 隔离 ) 和 传输 安全 (加 密 控 制 、 消 息 摘 
要 或 数字 签名 ) 。 
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5. 安全 管理 中 心 


安全 管理 中 心 主 要 包括 业务 与 系统 管理 (业务 准 入 接 人 与 控制 .用户 管理 ,资源 配置 和 
EPCIS 管理 ) 安全 检测 系统 (和 人 侵 检测 .违规 检查 和 EPC 数字 取证 ) 以 及 安全 管理 (EPC 策 
略 管理 ,审计 管理 ,授权 管理 和 异常 与 报警 管理 ) 。 


6. 应 急 响 应 恢复 与 处 置 
应 急 响 应 恢复 与 处 署 主要 包括 容 灾 备 份 故障 恢复 .安全 事件 处 理 与 分 析 和 应 急 机 制 。 


12.4.2 纵深 防御 体系 


一 个 具体 的 网 络 系统 可 以 依据 保护 对 象 的 重要 程度 以 及 防范 范围 将 整个 保护 对 象 从 网 
络 空间 划分 为 若干 层次 ,对 不 同 层次 采取 不 同 的 安全 技术 。 

目前 , 物 联网 体系 以 互联 网 为 基础 ,因此 可 以 将 保护 范围 划分 为 边界 防护 、 区 域 防护 、 节 
点 防护 和 核心 防护 (应 用 防护 或 内 核 防护 ) ,从 而 实现 对 物 联网 的 纵深 防御 ,如 图 12. 1 所 示 。 


安全 管理 中 心 


图 121 纵深 防御 结构 


物 联网 边界 防护 包括 两 个 层面 : 

(1) 物 联 网 边界 可 以 指 单个 应 用 的 边界 , 即 核心 处 理 层 与 各 个 感知 节点 之 间 的 边界 , 例 
如 智能 家 居中 控制 中 心 与 居室 的 洗衣 机 或 路 途中 汽车 之 间 的 边界 ;也 可 理解 为 传感器 网 络 
与 互联 网 之 间 的 边界 。 

(2) 物 联网 边界 也 可 以 指 不 同 应 用 之 间 的 边界 .例如 感知 电力 与 感知 工业 之 间 的 业务 
应 用 之 间 的 边界 。 

区 域 防 护 是 比 边界 更 小 的 范围 , 特 指 单个 业务 应 用 内 的 区 域 ,例如 安全 管理 中 心 区 域 。 
节点 防护 一 般 具体 到 一 台 服 务 器 或 感知 节点 的 防护 、 其 保护 系统 的 健壮 性 以 及 消除 系统 的 
安全 漏洞 等 。 

核心 防护 可 以 是 针对 某 一 个 具体 的 安全 技术 ,也 可 以 是 具体 的 节点 或 用 户 , 也 可 以 是 操 
作 系 统 的 内 核 防护 , 它 抗 攻击 强度 最 大 ,能 够 保证 核心 的 安全 。 


12.5 物 联网 整体 防护 实现 技术 


12.5.1 物 联网 安全 技术 框架 


物 联网 整体 防护 横向 涉及 物理 安全 ,安全 计算 环境 .安全 区 域 边界 .安全 通信 网 络 、 
安全 管理 中 心 以 及 应 急 响应 恢复 与 处 置 6 个 方面 ;纵向 涉及 边界 防护 、 区 域 防护 、 节 点 
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防护 和 核心 防护 4 个 层次 , 物 联 网 主要 包括 访问 控制 和 入 侵 检测 等 40 多 种 安全 技术 ， 
如 表 12. 2 所 示 。 


表 12.2 物 联网 安全 


边界 防护 区 域 防护 节点 防护 核心 防护 
访问 控制 技术 
物理 安全 EPC 设备 安全 技术 。 | EPC 设备 安全 技术 
抗 电磁 干扰 技术 
授权 管理 技术 授权 管理 技术 授权 管理 技术 授权 管理 技术 
身份 认证 技术 身份 认证 技术 身份 认证 技术 身份 认证 技术 
自主 /强制 /角色 访问 | 自主 /强制 /角色 访问 | 自主 /强制 /角色 访问 | 自主 /强制 /角色 访 
控制 技术 控制 技术 控制 技术 问 控制 技术 
异常 节点 识别 技术 
标签 数据 源 认证 技术 
i 安全 封装 技术 安全 封装 技术 
系统 审计 技术 系统 审计 技术 系统 审计 技术 系统 审计 技术 
数据 库 安全 防护 技术 pie 
密 钥 管理 技术 密 钥 管理 技术 密 钥 管理 技术 
可 信 接 人 可 信 接 入 可 信 接 人 
可 信 路 径 可 信和 路径 
网 络 访问 控制 技术 | 网 络 访问 控制 技术 
节点 设备 认证 技术 
数据 机 密 性 与 完整 性 | 数据 机 密 性 与 完整 性 | 数据 机 密 性 与 完整 
技术 技术 性 技术 
安全 区 域 | 指令 数据 与 内 容 数据 | 指令 数据 与 内 容 数据 
边界 分 离 分 离 
数据 单 向 传输 技术 | 数据 单 向 传输 技术 
入侵 检测 技术 入 侵 检测 技术 入 侵 检 测 技术 
非法 外 联检 测 技术 
恶意 代码 防范 技术 。 “| 恶意 代码 防范 技术 “| 恶意 代码 防范 技术 “| 恶意 代码 防范 技术 
物理 链 路 专用 物理 链 路 专用 
安全 通信 | 链 路 逻辑 隔离 技术 。 “| 链 路 逻辑 隔离 技术 
网 络 加 密 与 数字 签名 技术 | 加 密 与 数字 签名 技术 | 加 密 与 数字 签名 技术 
消息 认证 技术 消息 认证 技术 消息 认证 技术 
业务 准 入 与 接 入 控制 | 业务 准 入 与 接 入 控制 | 业务 准 入 与 接 入 控制 
安全 管理 EPCIS 管理 技术 EPCIS 管理 技术 
中 心 入 侵 检测 入 侵 检测 入 侵 检测 入 侵 检测 
违规 检查 违规 检查 违规 检查 违规 检查 
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续 表 
边界 防护 区 域 防护 节点 防护 核心 防护 
EPC 取证 技术 EPC 取证 技术 EPC 取证 技术 EPC 取证 技术 
EPC 策略 管理 EPC 策略 管理 EPC 策略 管理 
安全 管理 | 年 计 管理 技术 审计 管理 技术 审计 管理 技术 审计 管理 技术 
授权 管理 技术 授权 管理 技术 授权 管理 技术 
异常 与 报警 管理 异常 与 报警 管理 异常 与 报警 管理 异常 与 报警 管理 
容 灾 备 份 技术 容 灾 备份 技术 
应 乱 史 应 | 故障 亿 复 技术 故障 恢复 技术 故障 恢复 技术 故障 恢复 技术 
做 复 与 | 数据 估 复 与 销毁 技术 “| 数据 傣 复 与 销 角 技术 | 数据 做 复 与 销 角 技术 di 
安全 事件 处 理 与 分 析 
技术 


12.5.2 关键 技术 实现 研究 


由 表 12. 2 可 知 , 物 联 网 涉及 的 安全 技术 种 类 繁多 ,不 便 一 一 说 明 , 本 节 仅 讨论 可 信 接 入 
技术 与 安全 封装 技术 的 实现 。 


1. 可 信 接 入 技术 


物 联网 安全 要 求 接 入 的 节点 具有 一 定 的 安全 保障 措施 ,因此 要 求 终端 节点 对 物 联网 平 
台 来 说 是 可 信 的 ,不 同业 务 平台 之 间 的 互联 安全 可 靠 。 物 联网 通过 平台 验证 和 加 密 信 道 通 
信和 实现 节点 之 间 、 不 同业 务 平台 之 间 的 可 信 互 联 。 由 于 物体 标签 携带 数据 量 小 ,不 可 直接 实 
现 节点 与 物 联网 平台 的 可 信 接 入 ,但 可 以 通过 专用 于 安全 的 EPCIS 服务 器 实现 可 信 接 和 人 。 
可 信和 接 入 要 涉及 两 个 节点 ,主要 是 节点 子 系统 间 的 平台 证 明和 身份 验证 ,其 流程 如 图 12. 2 
所 示 , 具 体 流程 如 下 : 


(4) 


四 
| | 
四 


(6) 


访问 控制 


图 122 可 信 接 入 流程 图 


(1) A 平 台 系 统 层 接收 到 应 用 层 的 发 送 数据 。 
(2) 发 送 数据 包 交 巾 访问 控制 模块 做 可 信 检 查 。 如 果 客 体 信 息 未 知 , 则 执行 步骤 (3); 
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已 知 跳 到 步骤 (6) 。 

(3) 平台 验证 模块 读 取 访 问 控制 模块 要 验证 的 客体 信息 。 

(4) A 平台 和 BB 平台 进行 相关 平台 验证 。 

(5) 应 用 层 将 验证 的 信息 返回 给 系统 的 访问 控制 模块 。 

(6) 如 果 检 查 B 平 台 可 信 , 则 和 B 平 台 执行 正常 的 通信 。 

(7) B 平 台 接 收 到 网 络 包 ,也 通过 访问 控制 模块 进行 检查 ,如 果 平 台 可 信 而 端口 不 存在 ， 
则 把 新 端口 作为 可 信和 直接 添加 进去 。 

(8) 也 平台 把 过 滤 的 数据 包 向 上 提交 给 应 用 层 。 


2. 业务 封装 技术 


在 物 联 网 中 ,大 部 分 业务 为 C/S 和 B/S 模式 的 应 用 。 虽 然 很 多 业务 应 用 系统 本 身 具 有 
一 定 的 安全 机 制 , 如 身份 认证 和 权限 控制 等 ,但 是 这 些 安全 机 制 容易 被 复 改 和 旁 路 ,致使 敏 
感 信息 的 安全 难以 得 到 有 效 保护 。 因 此 需要 有 高 安全 级 别 的 底层 支持 ,对 用 户 的 行为 进行 
访问 控制 ,以 保护 应 用 的 安全 。 

通常 采用 业务 安全 封装 的 方式 实现 对 业务 的 访问 控制 。 业 务 的 安全 封装 主要 由 可 信 计 
算 环 境 ,资源 隔离 和 输入 输出 安全 检查 来 实现 ,如 图 12. 3 所 示 。 


输入 


输出 
应 用 服务 和 


可 信 应 用 环境 
图 123 业务 安全 封装 机 制 


通过 可 信 计 算 的 基础 保障 机 制 建立 可 信 应 用 环境 ,完成 对 业务 应 用 服务 程序 及 相关 库 
文件 的 可 信 度 量 , 从 而 确保 其 静态 完整 性 。 通 过 资源 隔离 限制 特定 进程 对 特定 文件 的 访问 
权限 ,从 而 将 业务 应 用 服务 隔离 在 一 个 受 保护 的 环境 中 ,不 受 外 界 的 干扰 ,确保 业务 应 用 服 
务 相关 的 客体 资源 不 会 被 非 授 权 用 户 以 其 他 方式 访问 。 

输入 输出 安全 检查 截获 并 分 析 用 户 和 业务 应 用 服务 之 间 的 交互 请 求 , 还 原 出 业务 应 用 
运行 时 所 固有 的 语义 和 语 境 。 

上 述 功能 实现 都 需要 首先 了 解 不 同类 型 应 用 的 实际 工作 流程 ,并 在 此 基础 上 设 定 主体 
访问 客体 的 策略 ,才能 在 其 运行 过 程 中 由 系统 TCB 进行 正确 的 访问 控制 。 


习题 十 二 


1. 简单 说 明 什 么 是 物 联网 安全 尺度 。 
2. 物 联网 应 用 特有 的 安全 问题 有 哪 几 种 ? 
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物 联 网 发 展 的 中 、 高 级 阶段 面临 的 五 大 特有 的 信息 安全 挑战 是 什么 
试 进行 物 联网 特有 安全 问题 的 分 析 。 

物 联 网 安全 体系 的 目标 是 什么 ? 

物 联 网 的 安全 需要 坚持 哪 几 点 原则 ? 

物 联网 系统 安全 技术 体系 分 为 哪 6 个 方面 ? 

简 述 物 联网 可 信 接 入 技术 。 


. 简 述 物 联网 业务 封装 技术 。 


[10 


[11 
[12 
[13 
[14 
[15 
[16 
[17 
[18 
[19 
[20. 
[21 
[22 
[23 


[24] 


参考 文献 


吉成 . 物 联网 安全 技术 . 北京 : 电子 工业 出 版 社 , 2012. 
胡 向 东 . 物 联 网 安全 . 北京 : 科学 出 版 社 , 2012. 
任 伟 . 物 联 网 安全 . 北京 : 清华 大 学 出 版 社 , 2012. 
中 国电 信和 网 络 安全 实验 室 . 云 计算 安全 技术 与 应 用 . 北京 : 电子 工业 出 版 社 , 2012. 
王 张 宜 , 杨 敏 , 杜 瑞 颖 . 密码 编码 学 与 网 络 安全 .北京 : 电子 工业 出 版 社 , 2012. 
杨 庚 . 无 线 传感器 网 络 安全 .北京 : 科学 出 版 社 ,2010. 
沈 玉龙 , 裴 庆 祺 , 马 建 峰 . 无 线 传感器 网 络 安全 技术 概论 .北京 : 人 民 邮 电 出 版 社 ,2010. 
任 伟 . 无 线 网 络 安全 .北京 : 电子 工业 出 版 社 , 2011. 
李 晖 , 牛 少 彰 . 无 线 通信 安全 理论 与 技术 .北京 : 北京 邮电 大 学 出 版 社 , 2011. 
冯 登 国 . 网 络 安全 原理 与 技术 .第 2 版 .北京 : 科学 出 版 社 2011. 
赵 军 辉 . 射频 识别 技术 与 应 用 . 北京 : 机 械 工业 出 版 社 ，2008. 
罗 守 山 . 人 侵 检测 . 北京 : 北京 邮电 大 学 出 版 社 , 2004 
葛 秀 慧 . 信息 隐藏 原理 及 应 用 . 北京 : 清华 大 学 出 版 社 , 2012. 
余 涛 , 余 彬 . 位 置 服务 . 北京 : 机 械 工业 出 版 社 ,2005. 
杨 庚 , 许 建 ,等 . 物 联网 安全 特征 与 关键 技术 . 南京 邮电 大 学 学 报 ,2010,30(4). 
刘 宴 兵 , 胡 文 平 . 物 联网 安全 模型 及 关键 技术 . 数字 通信 ，2010(8). 
邵 华 , 范 红 ,等 . 物 联 网 信息 安全 整体 保护 实现 技术 研究 . 信息 安全 与 技术 ,2011(9). 
孟 小 峰 , 等 . 基于 位 置 服务 的 隐私 保护 . 中国 计算 机 学 会 通讯 第 6 卷 第 6 期 2010(6). 
潘 晓 , 肖 珍 , 孟 小 峰 . 位 置 隐私 研究 综述 . 计算 机 科学 与 探索 ,2007,1(3) 
谨 志 飞 ,等 ZigBee 技术 及 其 安全 性 研究 . 计算 机 技术 与 发 展 ,2008,18(8). 
武 传 坤 . 物 联网 安全 架构 初探 . 中 国 科 学 院 院 刊 ，2010(7). 
International Telecommunication Union. ITU Internet Reports 2005: The Internet of Things, 2005. 
Floerkemeier C. Langheinrich M，Fleisch E, Mattern F. The Internet of Things: Lecture Notes in 
Computer Science. Springer, 2008, 49-52. 
Van Kranenburg R. The Internet of Things. Amsterdam: Waag Society, 2008. 


